開発者がプロ​​プライエタリコードとオープンソースの依存関係のセキュリティの弱点を見つけて修正するのに役立つ新しいツール

20171108_synopsys_coverityfeat

Editor's Brief: When it comes to open source software (OSS), many developers know that the abundance of such code can dramatically shorten their developmental curve.編集者の概要:オープンソースソフトウェア(OSS)に関しては、多くの開発者は、そのようなコードが豊富にあると、開発曲線が劇的に短くなる可能性があることを知っています。 Many enterprises embed OSS into their applications for a faster go-to-market.多くの企業は、OSSをアプリケーションに組み込んで、市場投入を迅速化しています。 But what are the pitfalls?しかし、落とし穴は何ですか? At the same time, proprietary code can be ridden with vulnerabilities, as code complexity increases.同時に、コードの複雑さが増すにつれて、プロプライエタリコードに脆弱性が発生する可能性があります。 Leading software integrity vendor Synopsys introduces a first AST solution to help developers analyze both open source and proprietary code without leaving their IDE.主要なソフトウェア整合性ベンダーであるSynopsysは、開発者がIDEを離れることなく、オープンソースコードとプロプライエタリコードの両方を分析できるようにする最初のASTソリューションを発表しました。 The vendor's new release is found below.ベンダーの新しいリリースは以下にあります。

シノプシスは、開発者のデスクトップ上のオープンソースコードとプロプライエタリコードの両方を分析する最初のアプリケーションセキュリティテストソリューションを発表しました

シンガポール、@ mcgallen#microwire情報、20年2020月XNUMX日 シノプシス株式会社 (ナスダック:SNPS)は、18月XNUMX日にPolaris Software Integrity Platformのメジャーアップデートをリリースすると発表しました。CodeSight™IDEプラグインのネイティブ統合を通じて、静的アプリケーションセキュリティテスト(SAST)およびソフトウェア構成分析(SCA)機能を開発者のデスクトップに拡張します。 これらの機能は、この種の最初のものであり、開発者は、インタラクティブな開発環境(IDE)を離れることなく、プロプライエタリコードのセキュリティの弱点とオープンソースの依存関係の既知の脆弱性の両方をプロアクティブに見つけて修正できます。

「シノプシスは、IDEでリアルタイムのSASTとSCAの結果を一緒に提供することで、開発者がアプリケーションを構築するときに、独自のコードと活用するオープンソースコンポーネントの両方のセキュリティ上の欠陥を検出できるようにします。 Developers can fix problems in real time, avoiding the risks and loss of productivity when issues are allowed to go undetected for days, weeks, or even months after they've moved on to other tasks.開発者は問題をリアルタイムで修正でき、問題が他のタスクに移ってから数日、数週間、さらには数か月間検出されないままになっている場合のリスクと生産性の低下を回避できます。 With this release, the native integration of the Code Sight IDE plugin enables developers to build secure, high-quality software faster.”このリリースでは、Code Sight IDEプラグインのネイティブ統合により、開発者は安全で高品質のソフトウェアをより迅速に構築できます。」

新しいCode Sight IDEプラグインの詳細:

  • 2019年に最初に導入されたCode Sight SAST機能に基づいて、このリリースでは、宣言された推移的なオープンソースの依存関係を分析する機能が導入され、IDEでSASTの結果とともに既知のセキュリティ問題のあるコンポーネントにフラグが付けられます。
  • 新しいSCA機能を使用すると、開発者はフラグが付けられたコンポーネントの既知の脆弱性を確認してリスクを検証し、修復オプションを決定できます。IDEを終了する必要はありません。
  • Code Sightプラグインは、以下の脆弱性情報を提供します Black Duck Security Advisories(BDSA)、Synopsys、およびNational Vulnerability Database(NVD)からの公開CVEレコードによって調査されました。
  • BDSAは、NVDで利用可能なものよりもタイムリーで正確、かつ完全なリスクと修復情報を開発者に提供し、他のソリューションよりも迅速かつ効果的に脆弱性を見つけて修正するのに役立ちます。
  • また、Code Sightプラグインは、詳細な修正ガイダンスを提供し、より安全なコンポーネントバージョンにそれらを誘導することにより、開発者が脆弱性の最適な修正をすばやく特定して選択するのに役立ちます。 開発者は、ワークフローを中断したりIDEを離れたりすることなく、修正を一度に実装できます。
  • 脆弱性情報に加えて、Code Sightプラグインは、オープンソースライセンスのリスクや組織の事前定義されたオープンソースポリシーの潜在的なセキュリティおよびライセンスコンプライアンス違反など、開発者がコンポーネントの選択を最適化するために使用できる他の情報を提供します。

詳細については、 ブログ投稿.

Synopsys Software Integrity Groupについて 
Synopsys Software Integrity Groupは、開発チームが安全で高品質なソフトウェアを構築し、スピードと生産性を最大化しながらリスクを最小限に抑えるのに役立ちます。 アプリケーションセキュリティのリーダーとして認められているSynopsysは、静的分析、ソフトウェア構成分析、動的分析ソリューションを提供し、チームがプロプライエタリコード、オープンソースコンポーネント、およびアプリケーション動作の脆弱性と欠陥をすばやく見つけて修正できるようにします。 業界をリードするツール、サービス、専門知識を組み合わせたSynopsysだけが、組織がDevSecOpsのセキュリティと品質を最適化し、ソフトウェア開発ライフサイクル全体を支援します。 詳細は www.synopsys.com/software.

シノプシスについて
Synopsys、Inc.(Nasdaq:SNPS)は、私たちが日常的に使用している電子製品とソフトウェアアプリケーションを開発している革新的な企業のための、Silicon to Software™パートナーです。 世界で15番目に大きいソフトウェア企業であるSynopsysは、電子設計自動化(EDA)と半導体IPのグローバルリーダーである長い歴史を持ち、ソフトウェアのセキュリティと品質ソリューションにおけるリーダーシップを成長させています。 高度な半導体を作成するシステムオンチップ(SoC)デザイナーでも、最高のセキュリティと品質を必要とするアプリケーションを作成するソフトウェア開発者でも、Synopsysは革新的で高品質で安全な製品を提供するために必要なソリューションを提供します。 詳細は www.synopsys.com.

###