画面上のより多くのコード

開発者は現在、RapidScanを武器にしています。 Synopsys'CoveritySASTおよびBlackDuckSCAソリューション

編集者の概要:ソフトウェア開発に関しては、スピード、敏捷性、パフォーマンス、セキュリティの行進です。 今日のほとんどのエンティティは、競合他社を凌駕する速度でコードを設計および展開しており、サイバーセキュリティを市場投入までの速度と同等にする必要性が急速に高まっています。 Synopsysソフトウェア整合性のリーダーである は、同社の Coverity 静的アプリケーション セキュリティ テスト (SAST) および Black Duck ソフトウェア構成分析 (SCA) ソリューションに Rapid Scan 機能が搭載されたことを発表しました。そのようなアプリケーションで使用されるオープン ソース コード。 詳細は以下をご覧ください。

シンガポール – Synopsys株式会社 (ナスダック: SNPS)本日、新しい ラピッドスキャン 同社のCoverity静的アプリケーションセキュリティテスト(SAST)およびBlack Duckソフトウェア構成分析(SCA)ソリューション内の機能。 ラピッドスキャン機能は、プロプライエタリコードとオープンソースコードの両方に対して、高速で軽量な脆弱性検出を提供します。 Rapid Scanは、開発の初期段階、特にクラウドネイティブアプリケーションとInfrastructure-as-Code(IaC)向けに最適化されています。

ソフトウェア開発ライフサイクル(SDLC)の後の段階でリスクを管理するには、包括的で徹底的なセキュリティテストが不可欠ですが、SDLCの初期段階のすべての増分ステップでフルスキャンを実行するには、多くの場合、時間とリソースがかかりすぎます。 Rapid Scanは、開発チームがすべてのコードチェックインまたは初期段階のビルドで速度を落とすことなく高速のSASTおよびSCAスキャンを実行できるようにすることで、従来のアプリケーションセキュリティテストアクティビティを補完します。 これにより、開発者は効率的に左にシフトでき、セキュリティの問題がSDLCの後の段階に伝播するのを防ぐことができます。

「最新のソフトウェア開発の特徴のXNUMXつは、大規模なプロセスを、分散して迅速かつ同時に実行できる、より小さく、より管理しやすいタスクに分割することです」と、 Synopsys ソフトウェアインテグリティグループ。 「DevSecOpsを採用している組織の場合、アプリケーションのセキュリティテストはそれに続く必要があります。 Rapid Scanを使用すると、CoverityとBlack Duckのユーザーは、迅速な予防スキャンを実行して、開発者がコードを記述してコミットするときに表面レベルの脆弱性を検出して排除できます。また、同じソリューションを使用して、アプリケーションを展開する前にSDLCでディープスキャンを実行できます。 。」

新機能は次のとおりです。

コベリティラピッドスキャン。 新しい CoveritySASTの高速スキャン機能 開発者のデスクトップと、GitLabやGitHub Actionsなどの継続的インテグレーション(CI)パイプラインで、プロプライエタリコードの高速セキュリティ分析を提供します。 Coverity Rapid Scanは、Kubernetes、Terraform、CloudFormationなどのInfrastructure-as-Codeフレームワーク、およびGraphQL、Kafka、Postmanなどのマイクロサービス上に構築されたクラウドネイティブアプリケーション向けに最適化されています。 Rapid Scanは、最も一般的なセキュリティの弱点の多くに加えて、問題のある設定ミスやAPIの誤用をすばやく検出できます。

ブラックダックラピッドスキャン。 世界 ブラックダックSCAのラピッドスキャン機能 開発者とリリースマネージャーは、コードをリリースブランチにマージする前に、アプリケーション内のオープンソースコンポーネントのいずれかが組織のセキュリティポリシーとライセンスポリシーに違反していないかどうかを判断するために、高速な依存関係分析を実行できます。 Black Duck Rapid Scanは、開発者に依存関係のリスクに関する早期の洞察を提供し、多要素オープンソース検出などのリソースを大量に消費するSCAアクティビティを延期し、SDLCの後の段階で完全なソフトウェア部品表を生成することにより、速度と効率が最適化されます。

インテリジェントオーケストレーションとラピッドスキャン。 CoverityおよびBlackDuck Rapid Scan機能は、 Synopsys' インテリジェントオーケストレーションソリューション継続的インテグレーション(CI)パイプラインのイベントに基づいて、高速SASTおよびSCAスキャンを自動的にトリガーします。 DevOpsチームが適切なセキュリティテストを適切なタイミングで実行できるようにするインテリジェントオーケストレーションは、速度と効率が重要なパイプラインの初期段階でラピッドスキャンを活用でき、後の段階で完全なコベリティスキャンとブラックダックスキャンを実行できます。デプロイ前にアプリケーションの品質とセキュリティを検証する際のパイプライン。

コベリティとブラックダックのラピッドスキャンの詳細については、 ブログ投稿.

###