申し訳ありませんが、この言語ではまだご利用いただけません

English
日本語
简体中文

Polaris Platform | Unified platform for managing software security and compliance.
fAST Static | Unified platform for managing software security and compliance.
fAST SCA | Unified platform for managing software security and compliance.
fAST Dynamic | Unified platform for managing software security and compliance.

Coverity Static | Static analysis tool for detecting software defects and vulnerabilities.
Black Duck SCA | Software composition analysis to manage open source security and license compliance.
Continuous Dynamic | Continuous dynamic application security testing.
Seeker Interactive | Interactive application security testing tool for detecting vulnerabilities.
Software Risk Manager ASPM | Application security posture management tool for risk management.
Defensics Protocol Fuzzing | Protocol fuzzing tool to identify and fix security flaws.

Code Sight IDE Plug-in | Integrated development environment plug-in for real-time security feedback.
SCM Integrations | Source code management integrations for seamless security checks.
Build & CI Tool Integrations | Integrations with build and continuous integration tools.
Developer Workflow Integrations | Tools to integrate security into the developer workflow.
3rd-Party AST Tool Integrations | Integrations with third-party application security testing tools.
Cloud Deployment Integrations | Integrations for securing cloud deployments.

Open Source & Security Audits | Comprehensive technical due diligence services for M&A.

AI-generated code | Harness the power of AI coding assistants while managing the risks.
API Security Testing | Manage software risks with a holistic API security testing program.
AppSec Consolidation | Simplify your application security program
Application Security Testing | Solutions to address security risks at all stages of the application life cycle.
DevSecOps | Solutions to help shift security left without slowing down your development teams.
Software Supply Chain Security | Solutions to identify and manage software supply chain risks end-to-end.
Manage AppSec Risk | Scale your application security program without increasing complexity or adding friction.
Cloud & Container Security | Optimize your applications for secure deployment and operation in the cloud.
Open Source License Compliance | Effective solutions for ensuring open source license compliance.
M&A Due Diligence | Identify software risks that could negatively impact the value of acquired IP.
Quality & Security Standards Compliance | Ensure your software complies with the standards critical to customers and regulators.

Static Analysis (SAST) | Analyzing code for security vulnerabilities without executing it.
Software Composition Analysis (SCA) | Analyzing software components for security and license compliance.
Dynamic Analysis (DAST) | Testing running applications for security vulnerabilities.
Interactive Analysis (IAST) | Real-time security testing during application execution.
Penetration Testing | Simulated cyberattacks to identify vulnerabilities.
Mobile Application Security Testing (MAST) | Ensuring the security of mobile applications.
Application Security Posture Management (ASPM) | Managing and improving application security posture.
Fuzz Testing | Identifying vulnerabilities by inputting random data to applications.

Automotive | Security solutions for automotive industry applications.
Financial Services | Security solutions tailored for financial services.
IoT & Embedded | Security for Internet of Things and embedded systems.
Medical Device | Security solutions for medical devices.
Public Sector | Security solutions for government and public sector organizations.

Dev and DevOps Teams | Security tools and practices for development and DevOps teams.
Security Teams | Solutions and support for dedicated security teams.
Legal Teams | Resources and compliance tools for legal teams.

DevSecOps

セキュリティを損なうことなくスピードを維持する

準備はできていますか

業務に必要なスピードを維持しながらソフトウェアのセキュリティを確保

ソフトウェア開発はかつてないほど加速し、自動化が進んでいます。急速に変化する事業運営の要件に遅滞なく適応するには、DevOpsにセキュリティを組み込む必要があります。Black DuckのDevSecOpsソリューションにより、開発のペースを落とすことなくセキュリティをシフトレフト（前倒し）することができます。

開発チーム向け

生産性を向上

作成したコードのセキュリティを速やかに確保し、プロジェクトの納期を遅らせかねないコストのかかる手戻りを回避することができます。IDE（統合ソフトウェア開発環境）やその他の使い慣れたツール（Jiraなど）内で、開発チームはソフトウェア・リスクに対する洞察、修正ガイダンス、セキュア・コーディング学習リソースを簡単に活用できます。

DevSecOpsチーム向け

スピードを維持

ソフトウェア開発ライフサイクル（SDLC）およびCIパイプラインのあらゆる段階で、統合されたアプリケーション・セキュリティ・テストとリスク・レポートを使用して問題を見つけて修正することができます。リスク許容閾値をサポートし、下流工程の問題を最小限に抑え、修正コストを削減するための、セキュリティ・ゲートを確立することができます。

企業向け

アジリティを最大化

スケーラブルなアズアサービス型のセキュリティ・テスト・プラットフォームを使用して、コストセンターであるアプリケーション・セキュリティをビジネスの推進役に変えます。先行投資やインフラストラクチャを保守する負担を排除することで、AppSec投資の価値実現に要する時間を短縮し、総所有コストを削減します。

ブラック・ダックでDevOpsにセキュリティをインテリジェントに組み込む

コード	ビルド	テスト	運用
ソフトウェア開発が始まります。これには、IDE（統合ソフトウェア開発環境）でのシステムの設計、コードの作成とエラーのレビューが含まれます。	ビルド・フェーズでは、計画フェーズで文書化した要件に従ってソフトウェアをビルドします。	テスト・チームがソフトウェアを評価し、必要な要件を満たしているかどうかを判断します。	ソフトウェアを本番環境にデプロイし、監視します。
開発ツールの統合リスクに関する洞察、修正ガイダンス、セキュア・コーディング学習リソースを開発者がすぐに利用できることで、作成したコードのセキュリティを速やかに確保できます。詳細はこちら	静的解析独自開発のソースコードでセキュリティと品質の問題を検出します。詳細はこちら	インタラクティブ解析 Webアプリケーションの実行中にセキュリティ脆弱性を特定して検証します。詳細はこちら	継続的なセキュリティ・スキャン本番環境でWebアプリケーションのセキュリティ・テストを継続的に行います。詳細はこちら
	ソフトウェア・コンポジション解析あらゆるアプリケーションまたはコンテナ内のオープンソースとサードパーティーのコンポーネントと、それらに関連するセキュリティとライセンスのリスクを自動的に検出します。詳細はこちら		脅威をリアルタイムで警告アプリケーションまたはコンテナの新たな脆弱性が報告されたとき、リアルタイムでアラートを受け取ることができます。詳細はこちら
アプリケーション・セキュリティ態勢管理企業全体でAppSecポリシー、テスト・オーケストレーション、セキュリティ問題の関連付けと優先順位付けを合理化し、セキュリティ・リスクを統合された1つの画面で確認することができます。詳細はこちら

DevOps向けのアプリケーション・セキュリティ・テストの簡素化と拡張

いつでも、どこでも、あらゆるスキャンを一度に自動化

Black Duck Polaris® Platform は、DevSecOpsのニーズに合わせて最適化された、統合型のクラウドベース・アプリケーション・セキュリティ・テスト・ソリューションです。開発チームを簡単にオンボーディングさせて数分でコードのスキャンを開始でき、さらにセキュリティ・チームは数千個のアプリのAppSecテスト・アクティビティとリスクを追跡して管理することができます。

Polarisの詳細はこちら

機能とセキュリティを同時にテスト

ランタイム・セキュリティ・テストを最適化してDevOpsを自動化

インタラクティブ・アプリケーション・セキュリティ・テスト（IAST）は、Webアプリケーションの通信をバックグラウンドで監視することにより、機能テストをセキュリティ・テストに変えることができます。また、Seeker®の自動検証機能は、実行時に表面化する真のリスクを特定するために役立ちます。Seekerを利用すると、結果を即座に得ることができ、誤検知もほとんどないため、本番環境の速度を低下させ、開発チームに負担をかける手動のセキュリティ・スキャンを実行する必要がなくなります。

Seeker IASTの詳細はこちら

コード作成のペースに合わせて速やかにコードをセキュアに

コードの作成時にリアルタイムでセキュリティ上の欠陥に対処

Code Sight™のIDE（統合ソフトウェア開発環境）ベースの迅速なテストにより、後工程に進む前に、よりセキュアなコードを作成して脆弱なコンポーネントを修正することができます。開発チームは、IDEを離れることなく、セキュリティ上の欠陥を正確かつ速やかに検出し、詳細な修正ガイダンスを確認できます。また、修正にかかる時間を最小限まで削減し、ワークフローを妨げることなく開発チームのセキュリティ水準を高めます。

Code Sightの詳細はこちら

セキュリティに対応できる開発者を育成し、修正を加速して、コンプライアンスをサポート

アジャイル学習を提供してセキュアな開発を促進

Secure Code Warriorを活用したBlack Duckの開発者向けセキュリティ・トレーニングは、開発者のデスクトップでセキュリティ問題を排除し、セキュリティ・テスト時に検出された問題の修正にかかる時間を短縮するためのクローズド・ループ戦略を確立します。インタラクティブなマイクロバースト学習形式により、開発者はそれぞれが既に行っている作業の中で迅速に知識を学び、テストし、応用することができます。

開発者向けセキュリティ・トレーニングの詳細はこちら

DevSecOps向けのセキュリティ・テストを統合して自動化

リスク検出を迅速化し、セキュリティ・ゲートを確立

Black Duckのアプリケーション・セキュリティ・テスト・ソリューションは、SDLCおよびCI/CDパイプライン全体を統合して、タイムリーなリスク検出と迅速な修正を可能にします。既知の脆弱性、ソース・コードの弱点、ソフトウェア・サプライ・チェーンのリスクの継続的なチェックを自動化できます。GitHub、GitLab、Azure DevOpsなどの一般的なDevOpsツールですぐに使えるプラグインと拡張機能を使用し、強力なCLIによる汎用的なCIサポートを利用できます。

DevOps統合の詳細はこちら

DevSecOpsは単なるツールの問題ではない

DevSecOpsには、使用するツールだけではなく、人、プロセス、計画も関係しています。ブラック・ダックは、DevSecOpsの全工程で、今日の部門横断的な組織をサポートし、DevSecOpsプログラムを成功させるための道案内役を果たします。

ブラック・ダック

エキスパートによるコンサルティング・サービスを利用する

policy-as-codeを実装してDevSecOpsの取り組みを効率化する

詳細はこちら

マチュリティ・アクション・プラン（MAP）を使用してアプローチを計画

DevSecOps MAPを使用し、開発段階で簡単にセキュリティを組み込む

詳細はこちら

統合に関するエキスパートのサポートを受ける

ブラック・ダックのエキスパートがDevSecOpsの統合をセットアップするためのお手伝いをします

詳細はこちら

Use training to bring developers up-to-speed

講師によるトレーニング・プログラムを活用して開発者のスキルアップを加速

グループで、またはオンライン形式で、専門家によるトレーニングを受けられます。

詳細はこちら

DevOpsにセキュリティを組み込む方法をご紹介します

DevSecOpsの現状のレポート

効果的なDevSecOpsプログラムを構成するツールと戦略をご説明します

レポートをダウンロード

Solving the AppSec Puzzle: Connecting AppSec to Your DevOps Pipeline cover

AppSecのパズルを解く: AppSecをDevOpsパイプラインにつなげる

DevOpsパイプラインを保護する方法をご説明します

ホワイトペーパーをダウンロード

DevSecOps Strategy Guide: Balancing Speed and Security

DevSecOps戦略ガイド

セキュリティを犠牲にすることなくソフトウェア開発を加速する方法をご説明します

ガイドをダウンロード

SANSの2023年のDevSecOpsに関する調査

洞察とベスト・プラクティスを手に入れましょう

レポートをダウンロード

よくある質問

既存のプロセスにオーバーヘッドや摩擦を新たに生じさせることなくセキュリティ・スキャンを拡張するにはどうすればよいですか？

Polaris Platformは、DevSecOpsのコストを最小限に抑えるように最適化された、クラウドベースのソリューションです。ハードウェアのデプロイやソフトウェアの更新が不要で、チームの規模やスキャンの頻度に制限がありません。ユーザーとアプリケーションを組織全体で迅速にオンボーディングしながら、弾力性に優れた容量を活用し、複数のプロジェクトとスキャン・タイプにわたって同時にスキャンすることができます。

セキュリティ・テストを自動化する機能を備えたBlack Duckのソリューションにはどのようなものがありますか？

Black Duckの自動化ソリューションには、静的アプリケーション・セキュリティ・テスト（SAST）、ソフトウェア・コンポジション解析（SCA）、インタラクティブ・アプリケーション・セキュリティ・テスト（IAST）、動的アプリケーション・セキュリティ・テスト（DAST）などがあります。これらのソリューションは、CI/CDパイプラインに統合して自動化し、定義済みのポリシーとワークフロー・トリガーに基づいて設定できます。Polaris Platformは柔軟性が高く、アプリケーション、プロジェクト、スケジュール、またはSDLCイベントに基づいて、パイプラインの中で最も適した段階で最も適切な解析エンジンを実行することができます。

CI/CDパイプラインのどこにセキュリティを統合するのが最適ですか？

「シフトエブリウェア」アプローチの実装では、ソフトウェア開発ライフサイクル（SDLC）とCI/CDパイプライン全体にセキュリティを組み込みます。コード品質とセキュリティ・リスクに対する知見をIDE内の開発者に直接提供し、ビルド時およびリポジトリとレジストリ内で静的解析とソフトウェア・コンポジション解析を導入し、ステージング環境とテスト環境で動的な実稼働前解析を実行して、実行時に表面化するリスクを検証します。

開発やDevOpsに遅滞を生じることなくセキュリティ・ゲートを導入するにはどうすればよいですか？

Black Duckのアプリケーション・セキュリティ・テスト・ソリューションは、DevOpsワークフローとCI/CDパイプライン全体を統合します。スキャン・イベントをトリガーし、ポリシーに基づいた優先順位付けとトリアージを自動化し、修正作業を迅速化することで、より効率的かつ効果的なDevSecOpsを実現して、未解決の脆弱性を削減します。クラウドベースのSecurity as a Serviceでは、Polaris Platformは、SCMおよびCIツールに簡単に接続して、独自開発のコード、オープンソース、サードパーティーの依存関係に対するスキャンをスケジュールして実行することも、これらのスキャンをトリガーすることもできます。

IDEで脆弱性スキャンを実行できるようにするには、どうすればよいですか？

Code Sightは、ソースコードとオープンソース・コンポーネントのセキュリティ・テストを開発チームのIDEに直接組み込みます。そのため、ツールを切り替える手間やワークフローの中断なくセキュリティ上の欠陥を検出して修正することができます。Code Sightを使用すると、パッケージ・レベルとコード行レベルで推奨される詳細な修正案を表示できるため、開発者は推測に頼ることなく修正でき、開発チームのセキュリティ・スキルセットを強化することができます。

さまざまなアプリケーション・セキュリティ・テスト・ツールの結果から重複を排除するにはどうすればよいですか？

セキュリティ・プログラムが進化するにつれて、DevSecOpsの取り組みの中で、複数のツールで同じアプリケーションの同じリスクが検出されることがありますが、これは、時間とコストの浪費や結果の矛盾が生じる原因となります。Software Risk Managerで結果を関連付けて重複を排除することにより、ノイズの多い結果のレビューに無駄な労力を費やすことなく、プロジェクト全体で重要度の高いリスクから先に修正することに集中できます。

さまざまなアプリケーション・セキュリティ・テスト・ツールのテスト結果を組み合わせるにはどうすればよいですか？

Software Risk Managerは、脆弱性を特定したテスト・ツールまたはセキュリティ・ベンダーに関係なく、すべてのアプリケーション脆弱性の記録システムを構築します。これにより、特定の基準に基づいて主要な脆弱性を検出し、リスク管理体制を一元的に把握することができます。また、AppSecプログラムの効果を評価できます。

DevSecOpsプログラムを編成するための最適な方法を教えてください。

DevSecOpsプログラムを編成するための重要なステップとしては、重要なセキュリティ手順を自動化できるようにセキュリティ・テスト・ポリシーを事前に定義する、SDLCおよびCI/CDパイプラインのさまざまな段階でテストの種類ごとにインテリジェントなセキュリティ・オーケストレーションを設定する、IDE内のセキュリティ・テストと修正を追加して、開発者がコードの作成中に問題を発見・修正できるようにする、リスク・データの配置・関連付け・管理により効果的なリスクの優先順位付けと修正を可能にする、などが挙げられます。

準備はできていますか

ご相談ください