検索

ソフトウェア構成分析

開発者向けの統合機能とコンテキストを考慮した優先順位付けによって、オープン ソースの脆弱性とライセンスのコンプライアンス問題に未然に対処します。
デモを申し込む
Host Security Hero Front Image

脆弱性が至る所に広がり捉えにくくなる中、より迅速に、容易かつシームレスにオープン ソースのリスクに対処する方法が求められています。クラウド ネイティブ インフラストラクチャとアプリケーション レイヤーの境界が曖昧になりつつある今、DevOpsツールに組み込まれたソースでコードのセキュリティを確保する手法が新たに注目されています。オープン ソースのセキュリティとコンプライアンスに対して一貫したアプローチを取ることにより、誤検知を最小限に抑え、分析結果を優先順位付けし、より迅速にコードのセキュリティを確保できます。

クラウド ネイティブ アプリケーションはオープン ソースに依存

オープン ソース ソフトウェア(OSS)は、クラウド ネイティブ アプリケーションの大きな部分を占めています。そのおかげで、開発者は同じものを一から作り直すことなく、いち早くスタートを切ることができます。そうした利点の一方で、サードパーティのオープン ソース ソフトウェアにはセキュリティとコンプライアンス上のリスクがあり、クラウド ネイティブ セキュリティ プログラムの一環として対処する必要があります。

依存関係の無秩序な広がりがリスクを生む

オープン ソース ソフトウェアは、パッケージの依存関係が幾重にも重なっており、アプリケーション スタック全体のどこに、どのような形でOSSが使用されているのかを把握することは困難です。その上、脆弱性は推移的パッケージに潜んでいることもよくあります。それらの脆弱性やライセンスを把握するには、連続的かつ統合的なアプローチが必要です。

サイロ化したセキュリティ ツールがカバー範囲のギャップを生む

アプリケーションのインフラストラクチャの完全なコンテキストがなければ、アプリケーション内で検出された脆弱性が実際に露出しているのか、低リスクなのかを判断するのは困難です。アプリケーション セキュリティとインフラストラクチャ セキュリティの分析結果を関連付けることにより、コードベース全体のコンテキストで脆弱性が浮かび上がり、より的確な優先順位付けと迅速な修復が可能になります。

Cortex® Cloudなら、開発スピードを落とすことなくオープン ソースのリスクを容易に排除できます。

Cortex Cloudは、DevOpsツールに統合することで、コーディングからビルド、デプロイ、実行時まで、オープン ソース パッケージの脆弱性とライセンス コンプライアンスの問題を積極的にスキャンします。インフラストラクチャおよびアプリケーションのコードレベルの弱点、依存関係の完全な推定、きめ細かなバージョン バンプの修正を関連付けるCortex Cloudのデータ モデルは、他のSCAソリューションとは一線を画しています。
  • 接続されたインフラストラクチャとアプリのリスクに対する単一のビュー
  • 開発者ツールやワークフローに統合
  • パッケージとコンテナ イメージのフル ライフサイクル セキュリティ
  • 信頼できるソースが基盤
    信頼できるソースが基盤
  • 開発者に優しい統合
    開発者に優しい統合
  • 無制限の依存関係ツリー スキャン
    無制限の依存関係ツリー スキャン
  • バージョン バンプの修正
    バージョン バンプの修正
  • ライセンス分析と監査レポート
    ライセンス分析と監査レポート
  • カスタム適用ルール
    カスタム適用ルール
ソリューション

コンテキストを考慮した開発者第一のソフトウェア構成分析アプローチ

高精度・コンテンツ考慮型

Cortex Cloudのソフトウェア構成分析(SCA)機能は、最も信頼できる脆弱性データベースをベースに構築されたもので、業界で最も堅牢なインフラストラクチャ ポリシー データベースに接続されています。開発者がリスクを理解し、素早く修正を実施するのに必要なコンテキストとともに脆弱性を明らかにすることで、Cortex Cloudは、次の大きな脆弱性の迅速な阻止に必要とされる範囲でオープン ソースをカバーします。

  • 言語およびパッケージ マネージャー全体を卓越した精度でスキャン

    すべての主要言語と30以上のアップストリーム データ ソースをサポートし、誤検知を最小限に抑えながら、オープン ソース パッケージ内の脆弱性を検出します。

  • 業界トップクラスの情報源を活用し、完全オープン ソースのセキュリティに自信を

    Cortex Cloudは所在を問わずオープン ソースの依存関係をスキャンし、NVDなどのパブリック データベースやCortex Cloud Intelligence Streamと比較して脆弱性を検出し、重要な修正情報を提示します。

  • インフラストラクチャとアプリケーションのリスクを関連付け

    コードベース内の実際に露出している脆弱性を絞り込むことで、誤検知を抑制すると同時に、修復の優先順位付けを迅速化します。

  • 依存関係の深さに関係なく脆弱性を検出

    Cortex Cloudは、パッケージ マネージャーのデータを取り込んで依存関係ツリーを最深部まで推定することで、ビューからは見えないオープン ソースのリスクを特定します。

  • ソフトウェア サプライ チェーンを可視化してカタログ化

    サプライ チェーン図により、パイプラインとコードの統合インベントリを提供します。これらの接続をすべて可視化するだけでなく、ソフトウェア部品表(SBOM)を生成することもできるため、アプリケーションのリスクとアタックサーフェスを把握しやすくなります。

精度が高くコンテキストを考慮

柔軟な修正を完全に統合

オープン ソース ライブラリの使用方法と使用場所に関するコンテキストを完全に把握しているのは、開発者だけです。したがって、脆弱性を修正するには開発者にフィードバックを提供するのが一番です。SCAは、Cortex Cloudのネイティブ開発者ツール統合とCLIツールの拡張性を生かして開発者のワークフローに完全に統合されているため、適切な場所とタイミングで脆弱性が提示されます。

  • 開発者ツールとワークフローにオープン ソース セキュリティを統合

    IDEとVCSのプル/マージ リクエストを通じて脆弱性を開発者にリアルタイムにフィードバックし、新しいパッケージをコードベースに安心して統合できるようにします。

  • ライフサイクルを通じてカスタム ポリシーを作成して適用

    リポジトリ、レジストリ、CI/CDパイプライン、ランタイム環境をスキャンし、ブロックまたは許可するソフトウェアを判定する脆弱性管理を統合します。

  • 互換性を破る変更を回避しながら問題を修正

    重要機能が動作しなくなるリスクを回避しつつ、直接/推移的依存関係に含まれる脆弱性の修正に必要な最低限の更新を提案します。また、パッケージごとにバージョンを細かく選択できる柔軟性を有し、複数の問題を一度に修正できます。

  • ソフトウェア部品表を作成

    Cortex Cloudは、リポジトリ内の依存関係を見つけ、ソフトウェア部品表(SBOM)とインフラストラクチャ部品表(IBOM)を作成し、標準形式でエクスポートします。

柔軟な修正を完全に統合

OSSライセンスのコンプライアンス

手作業でコンプライアンス レビューを実施した結果、ライセンス使用要件を満たさないオープン ソース ライブラリが発見されたのでは遅すぎます。Cortex Cloudは、依存関係のオープン ソース ライセンスをカタログ化し、カスタマイズ可能なライセンス ポリシーを基に、デプロイを警告またはブロックできます。

  • コストのかかるオープン ソース ライセンス違反を回避する

    オープン ソース パッケージのライセンスに違反する場合に、フィードバックを早期に行いビルドをブロック。しかも、すべての主要言語とパッケージ マネージャーに対応しています。

  • 業界標準の使用に基づくデフォルト ポリシーを利用

    標準装備ポリシーには、一般的なタイプのライセンスに対する独断的な重大度と非標準タイプのライセンス用語のパターン マッチングが設定されており、利用規定の決定を簡素化します。

  • カスタマイズされたポリシーを作成して社内コンプライアンス要件を適用

    コピーレフト ライセンスや利用自由なライセンスの社内要件を満たすように、ライセンス タイプに基づいてルールを設定します。DevOpsツール統合を通じてポリシー違反を早期にブロックすることにより、将来のライセンス コンプライアンス違反に対処する手間を回避します。

CNAPPの要素

追加のアプリケーション セキュリティ機能

IaCセキュリティ

開発ワークフローに組み込まれた自動IaCセキュリティ

詳細

アプリケーション セキュリティ体制管理

リスクが本番環境に到達しないようにブロックし、問題をソースで迅速に修復します。

詳細

ソフトウェア サプライチェーン セキュリティ

CI/CDのパイプラインを強化し、アタック サーフェスを縮小し、アプリケーション開発環境を保護。

詳細

シークレット セキュリティ

リポジトリとパイプラインに対するフルスタックの多面的なシークレット スキャン。

詳細

最新ニュース、イベント情報、脅威アラートを配信