ポストする

編集者の概要:オープンソースソフトウェア(OSS)に関しては、多くの開発者は、そのようなコードが豊富にあると、開発曲線が劇的に短くなる可能性があることを知っています。 多くの企業は、OSSをアプリケーションに組み込んで、市場投入を迅速化しています。 しかし、落とし穴は何ですか? 同時に、コードの複雑さが増すにつれて、プロプライエタリコードに脆弱性をもたらす可能性があります。 主要なソフトウェア整合性ベンダー Synopsys 開発者がIDEを離れることなくオープンソースとプロプライエタリコードの両方を分析するのに役立つ最初のASTソリューションを紹介します。 ベンダーの新しいリリースは以下にあります。

Synopsys 開発者のデスクトップ上のオープンソースとプロプライエタリコードの両方を分析する最初のアプリケーションセキュリティテストソリューションを発表

シンガポール、@ mcgallen#microwire情報、20年2020月XNUMX日 Synopsys株式会社 (ナスダック:SNPS)は、18月XNUMX日にPolaris Software Integrity Platformのメジャーアップデートをリリースすると発表しました。CodeSight™IDEプラグインのネイティブ統合を通じて、静的アプリケーションセキュリティテスト(SAST)およびソフトウェア構成分析(SCA)機能を開発者のデスクトップに拡張します。 これらの機能は、この種の最初のものであり、開発者は、インタラクティブな開発環境(IDE)を離れることなく、プロプライエタリコードのセキュリティの弱点とオープンソースの依存関係の既知の脆弱性の両方をプロアクティブに見つけて修正できます。

「最新の開発環境では、セキュリティテストを開発者のワークフローにシームレスに統合する必要がありますが、プロプライエタリコードとサードパーティコードの両方をカバーする必要もあります」と、 Synopsys ソフトウェアインテグリティグループ。 「リアルタイムのSASTと現在のSCAの結果をIDEで一緒に提供することにより、 Synopsys 開発者は、アプリケーションを構築するときに、独自のコードと活用するオープンソースコンポーネントの両方でセキュリティ上の欠陥を検出できます。 開発者はリアルタイムで問題を修正でき、問題が他のタスクに移ってから数日、数週間、さらには数か月間検出されないままになるリスクや生産性の低下を回避できます。 このリリースでは、Code Sight IDEプラグインのネイティブ統合により、開発者は安全で高品質のソフトウェアをより迅速に構築できます。」

新しいCode Sight IDEプラグインの詳細:

  • 2019年に最初に導入されたCode Sight SAST機能に基づいて、このリリースでは、宣言された推移的なオープンソースの依存関係を分析する機能が導入され、IDEでSASTの結果とともに既知のセキュリティ問題のあるコンポーネントにフラグが付けられます。
  • 新しいSCA機能を使用すると、開発者はフラグが付けられたコンポーネントの既知の脆弱性を確認してリスクを検証し、修復オプションを決定できます。IDEを終了する必要はありません。
  • Code Sightプラグインは、以下の脆弱性情報を提供します Black Duck Security Advisories(BDSA)、によって研究された Synopsys、およびNational Vulnerability Database(NVD)からの公開CVEレコード。
  • BDSAは、NVDで利用可能なものよりもタイムリーで正確、かつ完全なリスクと修復情報を開発者に提供し、他のソリューションよりも迅速かつ効果的に脆弱性を見つけて修正するのに役立ちます。
  • また、Code Sightプラグインは、詳細な修正ガイダンスを提供し、より安全なコンポーネントバージョンにそれらを誘導することにより、開発者が脆弱性の最適な修正をすばやく特定して選択するのに役立ちます。 開発者は、ワークフローを中断したりIDEを離れたりすることなく、修正を一度に実装できます。
  • 脆弱性情報に加えて、Code Sightプラグインは、オープンソースライセンスのリスクや組織の事前定義されたオープンソースポリシーの潜在的なセキュリティおよびライセンスコンプライアンス違反など、開発者がコンポーネントの選択を最適化するために使用できる他の情報を提供します。

詳細については、 ブログ投稿.

約 Synopsys ソフトウェア整合性グループ 
Synopsys Software Integrity Groupは、開発チームが安全で高品質のソフトウェアを構築し、リスクを最小限に抑えながら速度と生産性を最大化するのを支援します。 Synopsysは、アプリケーションセキュリティのリーダーとして認められており、静的分析、ソフトウェア構成分析、および動的分析ソリューションを提供します。これにより、チームは独自のコード、オープンソースコンポーネント、およびアプリケーションの動作の脆弱性と欠陥をすばやく見つけて修正できます。 業界をリードするツール、サービス、専門知識を組み合わせて、 Synopsys 組織がDevSecOpsおよびソフトウェア開発ライフサイクル全体でセキュリティと品質を最適化するのに役立ちます。 詳細については、 WWW。synopsys.com / software.

企業概要 Synopsys
Synopsys、Inc。(Nasdaq:SNPS)は、私たちが日々依存している電子製品とソフトウェアアプリケーションを開発する革新的な企業のSilicontoSoftware™パートナーです。 世界で15番目に大きいソフトウェア会社として、 Synopsys 電子設計自動化(EDA)および半導体IPのグローバルリーダーであるという長い歴史があり、ソフトウェアセキュリティおよび品質ソリューションにおけるリーダーシップも成長しています。 高度な半導体を作成するシステムオンチップ(SoC)設計者であろうと、最高のセキュリティと品質を必要とするアプリケーションを作成するソフトウェア開発者であろうと、 Synopsys 革新的で高品質で安全な製品を提供するために必要なソリューションを備えています。 詳細については、 WWW。synopsys.COM.

###