シノプシス ソフトウェア・インテグリティ・グループはブラック・ダックになりました 詳細はこちら

業務に必要なスピードを維持しながらソフトウェアのセキュリティを確保

ソフトウェア開発はかつてないほど加速し、自動化が進んでいます。急速に変化する事業運営の要件に遅滞なく適応するには、DevOpsにセキュリティを組み込む必要があります。Black DuckのDevSecOpsソリューションにより、開発のペースを落とすことなくセキュリティをシフトレフト(前倒し)することができます。

開発チーム向け


生産性を向上

作成したコードのセキュリティを速やかに確保し、プロジェクトの納期を遅らせかねないコストのかかる手戻りを回避することができます。IDE(統合ソフトウェア開発環境)やその他の使い慣れたツール(Jiraなど)内で、開発チームはソフトウェア・リスクに対する洞察、修正ガイダンス、セキュア・コーディング学習リソースを簡単に活用できます。

DevSecOpsチーム向け

スピードを維持

ソフトウェア開発ライフサイクル(SDLC)およびCIパイプラインのあらゆる段階で、統合されたアプリケーション・セキュリティ・テストとリスク・レポートを使用して問題を見つけて修正することができます。リスク許容閾値をサポートし、下流工程の問題を最小限に抑え、修正コストを削減するための、セキュリティ・ゲートを確立することができます。

企業向け

アジリティを最大化

スケーラブルなアズアサービス型のセキュリティ・テスト・プラットフォームを使用して、コストセンターであるアプリケーション・セキュリティをビジネスの推進役に変えます。先行投資やインフラストラクチャを保守する負担を排除することで、AppSec投資の価値実現に要する時間を短縮し、総所有コストを削減します。

ブラック・ダックでDevOpsにセキュリティをインテリジェントに組み込む

コード ビルド テスト 運用
ソフトウェア開発が始まります。これには、IDE(統合ソフトウェア開発環境)でのシステムの設計、コードの作成とエラーのレビューが含まれます。 ビルド・フェーズでは、計画フェーズで文書化した要件に従ってソフトウェアをビルドします。 テスト・チームがソフトウェアを評価し、必要な要件を満たしているかどうかを判断します。 ソフトウェアを本番環境にデプロイし、監視します。
開発ツールの統合
リスクに関する洞察、修正ガイダンス、セキュア・コーディング学習リソースを開発者がすぐに利用できることで、作成したコードのセキュリティを速やかに確保できます。詳細はこちら
静的解析
独自開発のソースコードでセキュリティと品質の問題を検出します。詳細はこちら
インタラクティブ解析
Webアプリケーションの実行中にセキュリティ脆弱性を特定して検証します。詳細はこちら
継続的なセキュリティ・スキャン
本番環境でWebアプリケーションのセキュリティ・テストを継続的に行います。詳細はこちら
ソフトウェア・コンポジション解析
あらゆるアプリケーションまたはコンテナ内のオープンソースとサードパーティーのコンポーネントと、それらに関連するセキュリティとライセンスのリスクを自動的に検出します。詳細はこちら
脅威をリアルタイムで警告
アプリケーションまたはコンテナの新たな脆弱性が報告されたとき、リアルタイムでアラートを受け取ることができます。詳細はこちら
アプリケーション・セキュリティ態勢管理
企業全体でAppSecポリシー、テスト・オーケストレーション、セキュリティ問題の関連付けと優先順位付けを合理化し、セキュリティ・リスクを統合された1つの画面で確認することができます。詳細はこちら

DevOps向けのアプリケーション・セキュリティ・テストの簡素化と拡張


いつでも、どこでも、あらゆるスキャンを一度に自動化

Black Duck Polaris® Platform は、DevSecOpsのニーズに合わせて最適化された、統合型のクラウドベース・アプリケーション・セキュリティ・テスト・ソリューションです。開発チームを簡単にオンボーディングさせて数分でコードのスキャンを開始でき、さらにセキュリティ・チームは数千個のアプリのAppSecテスト・アクティビティとリスクを追跡して管理することができます。

Application security testing platform
Interactive application security testing solution

機能とセキュリティを同時にテスト


ランタイム・セキュリティ・テストを最適化してDevOpsを自動化

インタラクティブ・アプリケーション・セキュリティ・テスト(IAST)は、Webアプリケーションの通信をバックグラウンドで監視することにより、機能テストをセキュリティ・テストに変えることができます。また、Seeker®の自動検証機能は、実行時に表面化する真のリスクを特定するために役立ちます。Seekerを利用すると、結果を即座に得ることができ、誤検知もほとんどないため、本番環境の速度を低下させ、開発チームに負担をかける手動のセキュリティ・スキャンを実行する必要がなくなります。

コード作成のペースに合わせて速やかにコードをセキュアに


コードの作成時にリアルタイムでセキュリティ上の欠陥に対処

Code Sight™のIDE(統合ソフトウェア開発環境)ベースの迅速なテストにより、後工程に進む前に、よりセキュアなコードを作成して脆弱なコンポーネントを修正することができます。開発チームは、IDEを離れることなく、セキュリティ上の欠陥を正確かつ速やかに検出し、詳細な修正ガイダンスを確認できます。また、修正にかかる時間を最小限まで削減し、ワークフローを妨げることなく開発チームのセキュリティ水準を高めます。

Application security testing in the IDE

セキュリティに対応できる開発者を育成し、修正を加速して、コンプライアンスをサポート


アジャイル学習を提供してセキュアな開発を促進

Secure Code Warriorを活用したBlack Duckの開発者向けセキュリティ・トレーニングは、開発者のデスクトップでセキュリティ問題を排除し、セキュリティ・テスト時に検出された問題の修正にかかる時間を短縮するためのクローズド・ループ戦略を確立します。インタラクティブなマイクロバースト学習形式により、開発者はそれぞれが既に行っている作業の中で迅速に知識を学び、テストし、応用することができます。

DevSecOps向けのセキュリティ・テストを統合して自動化


リスク検出を迅速化し、セキュリティ・ゲートを確立

Black Duckのアプリケーション・セキュリティ・テスト・ソリューションは、SDLCおよびCI/CDパイプライン全体を統合して、タイムリーなリスク検出と迅速な修正を可能にします。既知の脆弱性、ソース・コードの弱点、ソフトウェア・サプライ・チェーンのリスクの継続的なチェックを自動化できます。GitHub、GitLab、Azure DevOpsなどの一般的なDevOpsツールですぐに使えるプラグインと拡張機能を使用し、強力なCLIによる汎用的なCIサポートを利用できます。

DevSecOpsは単なるツールの問題ではない

DevSecOpsには、使用するツールだけではなく、人、プロセス、計画も関係しています。ブラック・ダックは、DevSecOpsの全工程で、今日の部門横断的な組織をサポートし、DevSecOpsプログラムを成功させるための道案内役を果たします。

 

ブラック・ダック

DevOpsにセキュリティを組み込む方法をご紹介します

よくある質問


既存のプロセスにオーバーヘッドや摩擦を新たに生じさせることなくセキュリティ・スキャンを拡張するにはどうすればよいですか?

Polaris Platformは、DevSecOpsのコストを最小限に抑えるように最適化された、クラウドベースのソリューションです。ハードウェアのデプロイやソフトウェアの更新が不要で、チームの規模やスキャンの頻度に制限がありません。ユーザーとアプリケーションを組織全体で迅速にオンボーディングしながら、弾力性に優れた容量を活用し、複数のプロジェクトとスキャン・タイプにわたって同時にスキャンすることができます。

セキュリティ・テストを自動化する機能を備えたBlack Duckのソリューションにはどのようなものがありますか?

Black Duckの自動化ソリューションには、静的アプリケーション・セキュリティ・テスト(SAST)、ソフトウェア・コンポジション解析(SCA)、インタラクティブ・アプリケーション・セキュリティ・テスト(IAST)、動的アプリケーション・セキュリティ・テスト(DAST)などがあります。これらのソリューションは、CI/CDパイプラインに統合して自動化し、定義済みのポリシーとワークフロー・トリガーに基づいて設定できます。Polaris Platformは柔軟性が高く、アプリケーション、プロジェクト、スケジュール、またはSDLCイベントに基づいて、パイプラインの中で最も適した段階で最も適切な解析エンジンを実行することができます。

CI/CDパイプラインのどこにセキュリティを統合するのが最適ですか?

「シフトエブリウェア」アプローチの実装では、ソフトウェア開発ライフサイクル(SDLC)とCI/CDパイプライン全体にセキュリティを組み込みます。コード品質とセキュリティ・リスクに対する知見をIDE内の開発者に直接提供し、ビルド時およびリポジトリとレジストリ内で静的解析とソフトウェア・コンポジション解析を導入し、ステージング環境とテスト環境で動的な実稼働前解析を実行して、実行時に表面化するリスクを検証します。

開発やDevOpsに遅滞を生じることなくセキュリティ・ゲートを導入するにはどうすればよいですか?

Black Duckのアプリケーション・セキュリティ・テスト・ソリューションは、DevOpsワークフローとCI/CDパイプライン全体を統合します。スキャン・イベントをトリガーし、ポリシーに基づいた優先順位付けとトリアージを自動化し、修正作業を迅速化することで、より効率的かつ効果的なDevSecOpsを実現して、未解決の脆弱性を削減します。クラウドベースのSecurity as a Serviceでは、Polaris Platformは、SCMおよびCIツールに簡単に接続して、独自開発のコード、オープンソース、サードパーティーの依存関係に対するスキャンをスケジュールして実行することも、これらのスキャンをトリガーすることもできます。

IDEで脆弱性スキャンを実行できるようにするには、どうすればよいですか?

Code Sightは、ソースコードとオープンソース・コンポーネントのセキュリティ・テストを開発チームのIDEに直接組み込みます。そのため、ツールを切り替える手間やワークフローの中断なくセキュリティ上の欠陥を検出して修正することができます。Code Sightを使用すると、パッケージ・レベルとコード行レベルで推奨される詳細な修正案を表示できるため、開発者は推測に頼ることなく修正でき、開発チームのセキュリティ・スキルセットを強化することができます。

さまざまなアプリケーション・セキュリティ・テスト・ツールの結果から重複を排除するにはどうすればよいですか?

セキュリティ・プログラムが進化するにつれて、DevSecOpsの取り組みの中で、複数のツールで同じアプリケーションの同じリスクが検出されることがありますが、これは、時間とコストの浪費や結果の矛盾が生じる原因となります。Software Risk Managerで結果を関連付けて重複を排除することにより、ノイズの多い結果のレビューに無駄な労力を費やすことなく、プロジェクト全体で重要度の高いリスクから先に修正することに集中できます。

さまざまなアプリケーション・セキュリティ・テスト・ツールのテスト結果を組み合わせるにはどうすればよいですか?

Software Risk Managerは、脆弱性を特定したテスト・ツールまたはセキュリティ・ベンダーに関係なく、すべてのアプリケーション脆弱性の記録システムを構築します。これにより、特定の基準に基づいて主要な脆弱性を検出し、リスク管理体制を一元的に把握することができます。また、AppSecプログラムの効果を評価できます。

DevSecOpsプログラムを編成するための最適な方法を教えてください。

DevSecOpsプログラムを編成するための重要なステップとしては、重要なセキュリティ手順を自動化できるようにセキュリティ・テスト・ポリシーを事前に定義する、SDLCおよびCI/CDパイプラインのさまざまな段階でテストの種類ごとにインテリジェントなセキュリティ・オーケストレーションを設定する、IDE内のセキュリティ・テストと修正を追加して、開発者がコードの作成中に問題を発見・修正できるようにする、リスク・データの配置・関連付け・管理により効果的なリスクの優先順位付けと修正を可能にする、などが挙げられます。