アプリケーションの脆弱性は、ハッカーの第一の標的です。しかし、モダン・アプリケーション開発の複雑さとペースの速さにより、セキュリティ問題の効果的な検出と修正はますます困難になっています。ブラック・ダックでは、アプリケーションのライフサイクルのすべての段階で、独自開発コードとサードパーティー・コードのセキュリティ上の弱点と脆弱性に対処するために必要なツールとサービスをチームに提供します。
オープンソースはほとんどのアプリケーションの基盤であり、多くの場合、コードの75%以上を占めています。ソフトウェア内のすべてのオープンソースを追跡できるように、信頼できるソフトウェア・コンポジション解析ソリューションが必要です。それによって、Log4Jのような広く使用されているコンポーネントの脆弱性(CVE)を標的とした、ハッカーによるアプリケーションの侵害を防ぐことができます。
ほとんどの開発者はセキュリティのエキスパートではありません。犯しやすいコーディングのミスによってセキュリティ上の弱点(CWE)が露呈されれば、重大な影響を及ぼしかねません。開発チームがコーディングする際に、セキュリティ上の不具合を速やかに見つけて修正できるようにするには、迅速かつ正確な静的解析が必要です。
一部の脆弱性は、アプリケーションを起動して実行してからでないと検出できません。静的解析とソフトウェア・コンポジション解析を行っている場合でも、実行時の脆弱性についてアプリケーション、Webサービス、プロトコル、APIをテストするためのインタラクティブ解析と動的解析も必要です。
1つのAppSecソリューションですべてに対処できるわけではありません。ブラック・ダックのアプリケーション・セキュリティ・テスト・ツールとサービスを使用すれば、複数の解析技術を組み合わせて、アプリケーション、サービス、コンテナを包括的にテストできます。
開発チームは、セキュリティ上の弱点と脆弱性に対する第一の防衛線です。開発チームがCode Sight™ IDEを使ってコーディングする際に、セキュリティ上の不具合を見つけて修正できるようになります。
開発プロセスは自動化されています。アプリケーション・セキュリティ・テストも自動化する必要があります。組み込みのSCM、CI、問題追跡機能と、Black Duck Polaris Platformを統合することで、テストを簡単に統合して自動化できます。
AppSecチームは、ソフトウェア・リスクの実際の状況を把握するのに苦労しています。Software Risk Managerは、既存のセキュリティ・ツール、開発ツール、ワークフローに接続して統合できる、一元管理された単一のプラットフォームを提供します。生産性指標、リスク・スコアリング、問題の傾向に関して詳細な解析結果を取得できます。
アプリケーション・セキュリティのエキスパートを見つけるのは大変です。ブラック・ダックのセキュリティ・テスト・エキスパートで構成されるグローバル・チームにより、リソースのギャップや優先プロジェクトに迅速かつコスト効率よく対処できます。
Black Duckが5つのユースケースで最高のスコアを獲得した理由をご覧ください