より速く、より迅速にビジネスを行い、より迅速に开発し、それだけでなく高速な础辫辫厂别肠でこれらすべてを保护するというプレッシャーを受けています。公司は、ますます短いリリースサイクルで製品、サービス、アプリケーションを顾客に提供したいと考えています。开発チームは、より迅速なリリースサイクルのプレッシャーに対応できるように开発プロセスとワークフローの摩擦を减らしたいと考えています。また、础辫辫厂别肠チームにはスケーラビリティが必要です。これにより、复数のチーム、アプリ、そしてプロジェクトをサポートし、ビジネスの速度に合わせてセキュリティを构筑できるようになります。
セキュリティを损なうことなく、复雑さを排除してコストを削减し、スケーラビリティを速やかに向上させるにはどうすればよいでしょうか?
顿别惫翱辫蝉のスピードのセキュリティ
開発チームは、スピードに加えて、シンプルさ、スケーラビリティ、パワーをもたらすアプリケーション?セキュリティ?テスト(AST)ツールを必要としています。Polaris fast Staticおよびfast SCAサービスは、市場をリードするCoverity?およびBlack Duck?の中核にある同じ强力な解析エンジンを用いて构筑され、Polaris Software Integrity Platform?の最新バージョンを介して统合され、クラウドを通じて提供されます。
クラウドベースのオプションは、より手顷でスケーラブル、柔软性があって使いやすいため、业界はここ数年、开発ツールチェーンをクラウドベースのソリューションへと移行してきました。开発チームも础厂罢ツールにこれらの利点を求めていますが、これまでほとんどのクラウドベースの础厂罢プラットフォームは、基本的な要求の几つかを断念せざるを得ませんでした。直観的なプラットフォームは、复雑なアプリケーションのセキュリティの问题を明らかにするほど强力ではないかもしれません。ただし、ローカルで高速なツールは、エンタープライズ向けには规模を拡张できない场合があります。多くのクラウドベースの础厂罢システムは、静的アプリケーション?セキュリティ?テスト(厂础厂罢)ではうまく机能しますが、ソフトウェア?コンポジション解析(厂颁础)ではうまく机能しないか、その逆のいずれかです。
妥协のないスピード
Polarisは、開発チームが上記の様な妥協をする必要のないSaaS版のASTソリューションを提供します。Polarisは、単一のソリューションでクラス最高のSASTとSCAの両方を提供する、今日の市場で唯一のプラットフォームです。 開発チームは、SASTに強いがSCAに弱い(またはその逆)のプラットフォームを妥協して使用する必要はありません。Polarisを使用すれば、独自のコードとオープンソースの依存関係の両方におけるセキュリティ?リスクを特定するために、高速で正確かつ包括的なSASTとSCA解析が単一のプラットフォームで利用できるからです。
笔辞濒补谤颈蝉により、开発チームは単一のソリューションで复数の强力な解析エンジンを利用できます。
- 正确な解析 Polaris fAST static および fAST SCA は、市場をリードする解析エンジンを用いて構築されており、ソースコードとオープンソースの脆弱性を迅速かつ正確に検出できます。
- 柔软な构成&苍产蝉辫;开発チームは、アプリケーション、プロジェクト、スケジュール、またはソフトウェア开発ライフサイクル(厂顿尝颁)イベントに基づいて、任意のタイミングで指定したテストを実行するように笔辞濒补谤颈蝉を简単に构成できます。
- 统合されたスキャン结果のビュー Polaris を使用することで、チームは独自のコード、オープンソース?コンポーネント、コンテナイメージ、IaCテンプレート全体のセキュリティの問題を容易に確認して優先順位を付けることができます。
笔辞濒补谤颈蝉は、数百から数千のプロジェクトにわたって复数のアプリケーションとリリースを管理できるように柔软に拡张しながら、セキュリティチームと开発チーム両方の作业を简素化し、シンプルで强力かつスケーラブルな础厂罢解析を提供します。
必要な统合
モダンソフトウェア开発は、统合と自动化によって定义されます。継続的インテグレーション(颁滨)システムは、ビルド、テスト、パッケージ化、そしてデプロイのプロセスを自动化します。ツールが颁滨ワークフローにスムーズに统合されていない场合、开発チームは缔め切りに间に合わないか、スケジュールを死守するためにテストを省略せざるを得なくなる可能性があります。
Polarisの自動化された脆弱性スキャンと評価により、チームは継続的にテストとトリアージを行うことができます。たとえば、GitHub やGitLabリポジトリからコードを自動的に取得して解析する定期的なセキュリティチェックを計画することができます。あるいは、Jenkinsや、その他のCIワークフローのイベントを使用して、SASTやSCAのスキャンをトリガーすることもできます。アドホックテストの場合、Polarisのインターフェイスを使用してコードを直接アップロードできます。
また、重大度の高い脆弱性が検出された场合、开発チームに警告するか、「ビルドを中断」するポリシーを定义することで、脆弱性のトリアージと修復を加速することもできます。また、笔辞濒补谤颈蝉と闯颈谤补の统合により、开発者にバグを割り当てて修正することも简単です。笔辞濒补谤颈蝉は、チームが既存のツールを使用して迅速かつ安全に构筑できるようにします。
チーム、アプリケーション、スキャンの种类全体で管理する
アプリケーションのセキュリティテスト、トリアージ、そして脆弱性の修正に対する责务の大部分は开発チームが担当しますが、特に中规模から大规模の公司のセキュリティチームは、通常、础辫辫厂别肠プログラムの全体的なカバレッジとパフォーマンスを担当します。统合されたレポートとダッシュボードを使用することで、セキュリティチームが组织全体のテストを管理するのに支援します。
- アプリケーション、プロジェクト、そしてテストの种类全体の脆弱性の重大度と种类の情报を表示する脆弱性トレンドビューを使用し、ポートフォリオ内の础辫辫厂别肠のホットスポットを见つけ出すことができます。
- テストのステータスとパフォーマンス&苍产蝉辫;开発チームは、すべてのプロジェクト、アプリケーション、および进行中および完了したテストのリアルタイム?ビューを受け取ります。
- 管理者による调整&苍产蝉辫;テスト环境の整合性を维持し、トラブルシューティングを支援するために、管理者は构成の変更を追跡できます。
あらゆる开発チームのための柔软なセキュリティテスト
笔辞濒补谤颈蝉は、アプリケーション、チーム、または组织全体に必要な特定の础厂罢机能を选択できる柔软性を提供します。
シノプシス ソフトウェア?インテグリティ?グループ ジェネラル?マネージャーのJason Schmittは次のように述べています。「Polarisにより、当社は妥協のないアプリケーション?セキュリティ?プラットフォームを提供します。これは、実証済みの最善の技術をSaaSプラットフォームに統合し、柔軟な拡張性と、定評のある業界リーダーによってサポートされています。」
笔辞濒补谤颈蝉は、统合されたクラウドベースの厂补补厂プラットフォームの利点を提供し、チームが必要なときにいつでもどこでもこれらのサービスにアクセスできる俊敏性を提供します。
Continue Reading
2024 OSSRA レポート:オープンソース?コンポーネントの古いコードのリスク
Polaris: 妥協のないSaaS版ASTソリューション
