コード | ビルド | テスト | 運用 |
---|---|---|---|
ソフトウェア開発が始まります。これには、IDE(統合ソフトウェア開発環境)でのシステムの設計、コードの作成とエラーのレビューが含まれます。 | ビルド・フェーズでは、計画フェーズで文書化した要件に従ってソフトウェアをビルドします。 | テスト・チームがソフトウェアを評価し、必要な要件を満たしているかどうかを判断します。 | ソフトウェアを本番環境にデプロイし、監視します。 |
ソフトウェア開発はかつてないほど加速し、自動化が進んでいます。急速に変化する事業運営の要件に遅滞なく適応するには、DevOpsにセキュリティを組み込む必要があります。Black DuckのDevSecOpsソリューションにより、開発のペースを落とすことなくセキュリティをシフトレフト(前倒し)することができます。
生産性を向上
作成したコードのセキュリティを速やかに確保し、プロジェクトの納期を遅らせかねないコストのかかる手戻りを回避することができます。IDE(統合ソフトウェア開発環境)やその他の使い慣れたツール(Jiraなど)内で、開発チームはソフトウェア・リスクに対する洞察、修正ガイダンス、セキュア・コーディング学習リソースを簡単に活用できます。
スピードを維持
ソフトウェア開発ライフサイクル(SDLC)およびCIパイプラインのあらゆる段階で、統合されたアプリケーション・セキュリティ・テストとリスク・レポートを使用して問題を見つけて修正することができます。リスク許容閾値をサポートし、下流工程の問題を最小限に抑え、修正コストを削減するための、セキュリティ・ゲートを確立することができます。
アジリティを最大化
スケーラブルなアズアサービス型のセキュリティ・テスト・プラットフォームを使用して、コストセンターであるアプリケーション・セキュリティをビジネスの推進役に変えます。先行投資やインフラストラクチャを保守する負担を排除することで、AppSec投資の価値実現に要する時間を短縮し、総所有コストを削減します。
コード | ビルド | テスト | 運用 |
---|---|---|---|
ソフトウェア開発が始まります。これには、IDE(統合ソフトウェア開発環境)でのシステムの設計、コードの作成とエラーのレビューが含まれます。 | ビルド・フェーズでは、計画フェーズで文書化した要件に従ってソフトウェアをビルドします。 | テスト・チームがソフトウェアを評価し、必要な要件を満たしているかどうかを判断します。 | ソフトウェアを本番環境にデプロイし、監視します。 |
Black Duck Polaris® Platform は、DevSecOpsのニーズに合わせて最適化された、統合型のクラウドベース・アプリケーション・セキュリティ・テスト・ソリューションです。開発チームを簡単にオンボーディングさせて数分でコードのスキャンを開始でき、さらにセキュリティ・チームは数千個のアプリのAppSecテスト・アクティビティとリスクを追跡して管理することができます。
インタラクティブ・アプリケーション・セキュリティ・テスト(IAST)は、Webアプリケーションの通信をバックグラウンドで監視することにより、機能テストをセキュリティ・テストに変えることができます。また、Seeker®の自動検証機能は、実行時に表面化する真のリスクを特定するために役立ちます。Seekerを利用すると、結果を即座に得ることができ、誤検知もほとんどないため、本番環境の速度を低下させ、開発チームに負担をかける手動のセキュリティ・スキャンを実行する必要がなくなります。
Code Sight™のIDE(統合ソフトウェア開発環境)ベースの迅速なテストにより、後工程に進む前に、よりセキュアなコードを作成して脆弱なコンポーネントを修正することができます。開発チームは、IDEを離れることなく、セキュリティ上の欠陥を正確かつ速やかに検出し、詳細な修正ガイダンスを確認できます。また、修正にかかる時間を最小限まで削減し、ワークフローを妨げることなく開発チームのセキュリティ水準を高めます。
Secure Code Warriorを活用したBlack Duckの開発者向けセキュリティ・トレーニングは、開発者のデスクトップでセキュリティ問題を排除し、セキュリティ・テスト時に検出された問題の修正にかかる時間を短縮するためのクローズド・ループ戦略を確立します。インタラクティブなマイクロバースト学習形式により、開発者はそれぞれが既に行っている作業の中で迅速に知識を学び、テストし、応用することができます。
Black Duckのアプリケーション・セキュリティ・テスト・ソリューションは、SDLCおよびCI/CDパイプライン全体を統合して、タイムリーなリスク検出と迅速な修正を可能にします。既知の脆弱性、ソース・コードの弱点、ソフトウェア・サプライ・チェーンのリスクの継続的なチェックを自動化できます。GitHub、GitLab、Azure DevOpsなどの一般的なDevOpsツールですぐに使えるプラグインと拡張機能を使用し、強力なCLIによる汎用的なCIサポートを利用できます。
DevSecOpsには、使用するツールだけではなく、人、プロセス、計画も関係しています。ブラック・ダックは、DevSecOpsの全工程で、今日の部門横断的な組織をサポートし、DevSecOpsプログラムを成功させるための道案内役を果たします。
Polaris Platformは、DevSecOpsのコストを最小限に抑えるように最適化された、クラウドベースのソリューションです。ハードウェアのデプロイやソフトウェアの更新が不要で、チームの規模やスキャンの頻度に制限がありません。ユーザーとアプリケーションを組織全体で迅速にオンボーディングしながら、弾力性に優れた容量を活用し、複数のプロジェクトとスキャン・タイプにわたって同時にスキャンすることができます。
Black Duckの自動化ソリューションには、静的アプリケーション・セキュリティ・テスト(SAST)、ソフトウェア・コンポジション解析(SCA)、インタラクティブ・アプリケーション・セキュリティ・テスト(IAST)、動的アプリケーション・セキュリティ・テスト(DAST)などがあります。これらのソリューションは、CI/CDパイプラインに統合して自動化し、定義済みのポリシーとワークフロー・トリガーに基づいて設定できます。Polaris Platformは柔軟性が高く、アプリケーション、プロジェクト、スケジュール、またはSDLCイベントに基づいて、パイプラインの中で最も適した段階で最も適切な解析エンジンを実行することができます。
「シフトエブリウェア」アプローチの実装では、ソフトウェア開発ライフサイクル(SDLC)とCI/CDパイプライン全体にセキュリティを組み込みます。コード品質とセキュリティ・リスクに対する知見をIDE内の開発者に直接提供し、ビルド時およびリポジトリとレジストリ内で静的解析とソフトウェア・コンポジション解析を導入し、ステージング環境とテスト環境で動的な実稼働前解析を実行して、実行時に表面化するリスクを検証します。
Black Duckのアプリケーション・セキュリティ・テスト・ソリューションは、DevOpsワークフローとCI/CDパイプライン全体を統合します。スキャン・イベントをトリガーし、ポリシーに基づいた優先順位付けとトリアージを自動化し、修正作業を迅速化することで、より効率的かつ効果的なDevSecOpsを実現して、未解決の脆弱性を削減します。クラウドベースのSecurity as a Serviceでは、Polaris Platformは、SCMおよびCIツールに簡単に接続して、独自開発のコード、オープンソース、サードパーティーの依存関係に対するスキャンをスケジュールして実行することも、これらのスキャンをトリガーすることもできます。
Code Sightは、ソースコードとオープンソース・コンポーネントのセキュリティ・テストを開発チームのIDEに直接組み込みます。そのため、ツールを切り替える手間やワークフローの中断なくセキュリティ上の欠陥を検出して修正することができます。Code Sightを使用すると、パッケージ・レベルとコード行レベルで推奨される詳細な修正案を表示できるため、開発者は推測に頼ることなく修正でき、開発チームのセキュリティ・スキルセットを強化することができます。
セキュリティ・プログラムが進化するにつれて、DevSecOpsの取り組みの中で、複数のツールで同じアプリケーションの同じリスクが検出されることがありますが、これは、時間とコストの浪費や結果の矛盾が生じる原因となります。Software Risk Managerで結果を関連付けて重複を排除することにより、ノイズの多い結果のレビューに無駄な労力を費やすことなく、プロジェクト全体で重要度の高いリスクから先に修正することに集中できます。
Software Risk Managerは、脆弱性を特定したテスト・ツールまたはセキュリティ・ベンダーに関係なく、すべてのアプリケーション脆弱性の記録システムを構築します。これにより、特定の基準に基づいて主要な脆弱性を検出し、リスク管理体制を一元的に把握することができます。また、AppSecプログラムの効果を評価できます。
DevSecOpsプログラムを編成するための重要なステップとしては、重要なセキュリティ手順を自動化できるようにセキュリティ・テスト・ポリシーを事前に定義する、SDLCおよびCI/CDパイプラインのさまざまな段階でテストの種類ごとにインテリジェントなセキュリティ・オーケストレーションを設定する、IDE内のセキュリティ・テストと修正を追加して、開発者がコードの作成中に問題を発見・修正できるようにする、リスク・データの配置・関連付け・管理により効果的なリスクの優先順位付けと修正を可能にする、などが挙げられます。