シノプシス ソフトウェア・インテグリティ・グループはブラック・ダックになりました 詳細はこちら

Black Duckの静的アプリケーション・セキュリティ・テスト(SAST)を使用すると、クラウド、オンプレミス、デスクトップで、あらゆるアプリケーションのセキュリティと品質の問題を速やかに、そしてスケーラブルかつ包括的に検出できます。

問題を早期に発見する

IDE内およびすべてのプル・リクエストでスキャンとセキュリティ・テストを実行して、ソフトウェア開発ライフサイクル(SDLC)の早い段階で問題を特定し、リリースのタイムラインに影響を与えないようにします。 

ワークフローを合理化する

既存のIDE、SCM、CIツールを使用して静的コード解析を開始および自動化し、結果を開発者ツールとワークフローに直接統合します。

実際の不具合に焦点を当てる

誤検知のノイズを排除し、結果のトリアージに費やす時間を減らすことにより、真の価値の実現に費やす時間を増やすことができます。

ソフトウェア開発ライフサイクル(SDLC)の早い段階で問題を発見


コードの不具合は、リリースのタイムラインやユーザーに影響を与える前に早期に特定することで、解決が容易になります。Black Duckでは、SDLCの複数のポイントで静的コード解析を開始できるため、チームの作業方法に合わせてテストを最適化できます。

  • IDEでリアルタイムに実行
  • コーディング中に脆弱性やコード品質の問題をリアルタイムに通知することにより、問題がコード・リポジトリにチェックインされるのを防ぎます。デスクトップ・インターフェイスの例
  • プル・リクエストでトリガ
  • 増分スキャンは、GitHub、GitLab、Bitbucketなどの一般的なソースコード管理システムとの統合により、前回のスキャン以降に変更されたコードの問題を特定します。GitHubインターフェイス
  • CIパイプラインで自動化
  • アプリケーション全体のスキャンにより、まだ解決されていないセキュリティまたは品質の問題を特定し、ポリシー違反が存在する場合はビルドを中断することができます。開発ポータルのインターフェイス
  • フルスキャンをスケジュール
  • 包括的な静的アプリケーション・セキュリティ・テストを定期的に実行して、アプリケーション全体の重大なセキュリティまたは品質上の欠陥を特定できます。
デスクトップ・インターフェイスの例
GitHub Issueの例
開発ポータルのインターフェイス
Edit Test Frequency Policy(テスト頻度ポリシーの編集)のインターフェイス

必要なときに必要な場所で正確な静的コード解析を実行


開発スタックがどのようなものであっても、Black Duckを使用すると、SASTを開発とDevOpsのワークフローおよびツールチェーンにシームレスに統合できます。

クラウド

fAST Static を使用することで、脆弱なソースコード、ハードコードされたシークレット、または誤って構成された infrastructure-as-code テンプレートを特定するために、オンボードで数分でスキャンを開始することができます。自動スキャンは、ソースコード管理やCIイベントによってトリガーすることができます。

オンプレミス

現在の環境にデプロイできる静的解析ソリューションが必要ですか? Software Risk Managerは、SASTを一元的なポリシー管理、テスト・オーケストレーション、問題の優先順位付け、修正追跡の機能を備えた包括的なアプリケーション・セキュリティ体制管理(ASPM)ソリューションに統合します。 

IDE(統合ソフトウェア開発環境)内で

開発のペースを落とさずにセキュリティ・テストをシフトレフトしたいと思いませんか? Code Sight™ IDEプラグインを使用すると、コーディング中にセキュリティの問題をリアルタイムに検出して修正できます。高速増分スキャンにより、セキュリティ上の欠陥にフラグを立て、IDE内で修正案を提示し、チェックイン前に修正できるようにすることで、開発にかかる時間を節減できます。

ユニバーサル静的コード解析スキャン・エンジン


当社の静的解析ソリューションは、ユニバーサル・スキャン・エンジンをベースに構築されており、クラウド上、オンプレミス、IDE内のいずれでも同様に正確かつスケーラブルな結果を速やかに提供します。

包括的な言語とフレームワークのサポート

20を超える言語と200を超えるフレームワークに対する当社の深い理解により、結果にコンテキストが追加され、セキュリティ・テストの精度が向上し、誤検知が減少します。

適切なタイミングで高速スキャン

高速増分スキャンはSDLCのどのステップでもトリガでき、必要に応じて詳細なアプリケーション・スキャンを実行できます。

ニーズに合わせて設定可能なチェッカー

セキュリティ・チェッカーは、デフォルトで誤検知を排除するように調整されており、アプリケーションのリスク・プロファイルに最適になるように設定できます。

Black Duckの利点


Black Duckは、市場で最も包括的な静的解析ソリューションを提供し、多様なテクノロジに対応してあらゆるアプリケーションのセキュリティと品質の問題を発見する柔軟性と、一般的な開発ワークフローへの統合機能を備えています。

Forrester Wave Static Application Security Testing Q3 2023
開発速度

SASTの結果は既存のワークフロー内で提供されるため、開発者はいつものツールを離れることなく不具合を速やかに排除できます。精度の高い結果により、誤検知のトリアージに時間を浪費することなく実際の問題に集中できるため、効率がさらに向上します。

ピンポイントの精度

Black Duckのスキャン・エンジンでは、複数のファイルやライブラリにまたがる複雑な問題を発見できます。セキュリティ・チェッカーと品質チェッカーは、各アプリケーション・プロファイルに最適になるように調整できるため、開発チームとセキュリティ・チームの両方が必要な結果を得ることができます。  

エンタープライズ規模

Black Duckのお客様は、数千人の開発者が関わり数千万行のコードを使用する世界最大級のアプリケーションを定期的にスキャンしています。当社のSASTスキャンは、アプリケーションの規模に関係なく、一貫して正確な結果を提供します。

セキュリティと品質のコンプライアンス

ポリシーベースのスキャンと組み込みレポートにより、ビジネスにとって重要なコーディング・スタンダードへのコンプライアンスを簡単に追跡および管理できます。問題の種類と重大度に関する分析情報は、修正作業に優先順位を付け、チームやプロジェクト全体の進捗状況を追跡するために役立ちます。  

お客様の声


引用

「Coverityを使用することで、コードの品質とセキュリティを確保し、C、C++、JavaのSEI-CERTコーディング・スタンダードとC言語のMISRA標準への準拠を実践するという当社の使命を強化することができました」

THALES ALENIA SPACE

引用

「Coverityは、特に数百万行のコードをスキャンする必要がある場合に、非常に効率的なコード品質アプローチを提供してくれました」

MEGA INTERNATIONAL

世界の 4000 以上の組織がブラック・ダックを信頼しています


accessdata
BAM Technologies
Broad Institute
DHS
DOMA Technologies
Finra
Honeywell
Leonardo
Linx
Magnet Marelli
NASA
Nuance
Olymp
Science Logic
ZPE
TrendMicro
oppo
CEVA
Document Logistix
CGI

Fortune 100社中49位

ソフトウェア企業

トップ10のうち6位

金融サービス会社

トップ10のうち10位

テクノロジ企業

トップ10のうち6位

ヘルスケア企業

静的解析に関するその他のリソース

見積のお申し込み