シノプシス ソフトウェア・インテグリティ・グループはブラック・ダックになりました 詳細はこちら

アプリケーションの脆弱性は、ハッカーの第一の標的です。しかし、モダン・アプリケーション開発の複雑さとペースの速さにより、セキュリティ問題の効果的な検出と修正はますます困難になっています。ブラック・ダックでは、アプリケーションのライフサイクルのすべての段階で、独自開発コードとサードパーティー・コードのセキュリティ上の弱点と脆弱性に対処するために必要なツールとサービスをチームに提供します。

すべてに対処できるAppSecツールはありません

うまく対処するには、ソフトウェア開発ライフサイクル(SDLC)全体で複数のセキュリティ解析技術を統合する、全体的なアプローチが必要です。 

ソフトウェア・コンポジション解析

オープンソースはほとんどのアプリケーションの基盤であり、多くの場合、コードの75%以上を占めています。ソフトウェア内のすべてのオープンソースを追跡できるように、信頼できるソフトウェア・コンポジション解析ソリューションが必要です。それによって、Log4Jのような広く使用されているコンポーネントの脆弱性(CVE)を標的とした、ハッカーによるアプリケーションの侵害を防ぐことができます。

Software Composition Analysis: Detect and manage open source and third-party component risks in development and production

静的解析

ほとんどの開発者はセキュリティのエキスパートではありません。犯しやすいコーディングのミスによってセキュリティ上の弱点(CWE)が露呈されれば、重大な影響を及ぼしかねません。開発チームがコーディングする際に、セキュリティ上の不具合を速やかに見つけて修正できるようにするには、迅速かつ正確な静的解析が必要です。

Static Analysis: Proprietary Code and Frameworks

インタラクティブ解析と動的解析

一部の脆弱性は、アプリケーションを起動して実行してからでないと検出できません。静的解析とソフトウェア・コンポジション解析を行っている場合でも、実行時の脆弱性についてアプリケーション、Webサービス、プロトコル、APIをテストするためのインタラクティブ解析と動的解析も必要です。

IAST and DAST: detect vulnerabilities in web applications. protcols and APIs

あらゆる角度から自信を持ってセキュリティに取り組む

あらゆるアプリケーションを包括的にテストする

1つのAppSecソリューションですべてに対処できるわけではありません。ブラック・ダックのアプリケーション・セキュリティ・テスト・ツールとサービスを使用すれば、複数の解析技術を組み合わせて、アプリケーション、サービス、コンテナを包括的にテストできます。

アプリケーション・セキュリティをシフトレフトする

開発チームは、セキュリティ上の弱点と脆弱性に対する第一の防衛線です。開発チームがCode Sight™ IDEを使ってコーディングする際に、セキュリティ上の不具合を見つけて修正できるようになります。 

自動化されたSDLCにセキュリティを組み込む

開発プロセスは自動化されています。アプリケーション・セキュリティ・テストも自動化する必要があります。組み込みのSCM、CI、問題追跡機能と、Black Duck Polaris Platform統合することで、テストを簡単に統合して自動化できます。

ポートフォリオ全体のセキュリティリスクと進捗状況を追跡して管理する

AppSecチームは、ソフトウェア・リスクの実際の状況を把握するのに苦労しています。Software Risk Managerは、既存のセキュリティ・ツール、開発ツール、ワークフローに接続して統合できる、一元管理された単一のプラットフォームを提供します。生産性指標、リスク・スコアリング、問題の傾向に関して詳細な解析結果を取得できます。

SRM team productivity dashboard

オンデマンドのセキュリティ・テスト・サービスでチームを強化する

アプリケーション・セキュリティのエキスパートを見つけるのは大変です。ブラック・ダックのセキュリティ・テスト・エキスパートで構成されるグローバル・チームにより、リソースのギャップや優先プロジェクトに迅速かつコスト効率よく対処できます。

Black Duckを使用してSDLCにセキュリティを組み込む

Black DuckがAppSecテスト分野のリーダーである理由をご覧ください