DevSecOpsフロー向けに最適化して脆弱性を監視

シノプシスは、インタラクティブ・アプリケーション・セキュリティ・テスト(IAST)ソリューション「Seeker」の最新バージョンを発表した。DevSecOps手法(開発担当者、セキュリティ担当者、運用担当者が連携して協力する開発手法)を実現し、Webアプリケーションのセキュリティを継続的に確保できるよう改良した。

Seekerは、CI/CD開発(継続的インテグレーション/継続的デプロイ)のワークフローにシームレスに組み込むことができ、リリース前のテストプロセスでWebアプリケーションの挙動をモニタリングできる。

また、特許技術により、悪用されかねない脆弱性が無いかどうかを検出し自動検証する機能を備えている。開発者に的確ですぐに実行可能な対策をリアルタイムで提示するという。

Seekerは独自の手法により、タイトなフィードバック・ループの中でアプリケーション・セキュリティ・リスクを絶えず最小化を可能にしている。これにより、開発サイクルの後期段階になって実施する、またそのために所定のテスト・サイクルの超過や手作業による検証結果の分析、優先順位の高いものへの対処といった現実を引き起こすDASTスキャンや侵入テストのみに頼らなくて済む。

また、外部調達するソフトウェア・コンポーネントへの依存がもたらすリスクに対処するため、Seekerには「Black Duck Binary Analysis」(旧 Protecode SC)が統合されている。オープンソース・ソフトウェア・コンポーネントに潜む既知の脆弱性やライセンス上の問題をも自動検知できる。

Seekerは、PCI DSSやGDPRといった標準規格やルールへのコンプライアンス遵守のために機密性の高いデータの状況を監視でき、開発フローにすぐに組み込めるだけでなく、大規模/クラウドベース/マイクロサービスベースのアプリケーション・アーキテクチャにも適用する。