ソフトウェアの開発からデプロイメント段階に至るまでのプロセスで包括的なセキュリティ担保が可能に
2019年2月25日 カリフォルニア州マウンテンビュー発 - シノプシス(Synopsys, Inc.、Nasdaq上場コード:SNPS)は本日、2019年3月4日から8日までの間、サンフランシスコで開催されるRSA Conferenceにて、新ソリューション Polaris Software Integrity Platform™を公開すると発表した。Polarisソフトウェア・インテグリティ・プラットフォームは、シノプシスが提供している高性能な各種ソフトウェア・インテグリティ・ツールならびにサービスを単一の統合ソリューションとして提供するためのプラットフォームであり、これによりソフトウェア開発やセキュリティ対策に関わる部門では、セキュアで高品質なソフトウェアをより短期間で開発可能となる。
Polarisは、シノプシスのCode Sight™ IDEプラグイン機能とセントラル・アナリシス・サーバーの組み合わせにより、ソフトウェアの開発からデプロイメント段階に至るまでのプロセスで、包括的なセキュリティ担保を容易化する。この新しいプラットフォーム上では、共通の強力な解析エンジン、一般的な開発/運用ツールの統合環境を活用でき、レポート統合機能、ダッシュボード、APIによりアプリケーションに潜むセキュリティ・リスクを一元的に確認することができる。Polarisを活用することにより、ソフトウェア開発チームは、開発段階の早期にソフトウェアの脆弱性を特定/修正し、ソフトウェア開発ライフサイクル(SDLC)を通してセキュリティ解析作業を包括的に統合/自動化し、アプリケーション・ポートフォリオ全体にわたってセキュリティ・リスクを管理できるようになる。
シノプシス ソフトウェア・インテグリティ・グループ 共同ジェネラル・マネージャー Andreas Kuehlmannは、次のように述べている。「日々高度化するセキュリティ攻撃からアプリケーションを効果的に防御するためには、企業/団体は、SDLCを通じた複数のポイントで、各種セキュリティ・テスト・テクニックを組み合わせて実行する必要があります。その一方で、競争力を損なわないためには開発スピードを低下させるわけにはいきません。ソフトウェア開発スピードを向上させることができ、かつ既存の開発環境の中でシームレスに展開/統合できるアプリケーション・セキュリティ・ソリューションを採用する必要があります。当社は過去数年間にわたり、ソフトウェア開発業界が必要としているセキュリティ・テスト手法全域を網羅する他に類を見ない開発ツールとサービスを開発してまいりました。そして今回、Polaris Software Integrity Platformの提供により、これらのソリューション間の相乗効果と効率を一層強化するという当社のビジョンを実現いたしました」
ガートナー社によると “新たなITテクノロジが次々と登場しイノベーションが進展する中、DevOps(開発と運用の連携)手法は一般的なものとなりつつあるが、セキュリティやコンプライアンスに関する懸念は高まる一方である。セキュリティとリスク・マネージメントの責任者は、ソフトウェア開発スピードを犠牲にすることなく、DevOpsツール・チェーンにセキュリティ対策のためのツール/プロセス/ポリシーを組み込んでいかなければならない” *1
*1 2017年10月3日刊 、ガートナー社 “Integrating Security Into the DevSecOps Toolchain” (Mark Horvath、Neil MacDonald、Ayal Tirosh著)
Polaris Software Integrity Platformによってもたらされる主要なメリットは以下の通りである。
リスクの早期発見と削減
Polarisの活用により、最も効果的でコスト効率の高い開発早期段階での脆弱性修正が可能となる。このプラットフォームのキーコンポーネントであるCode Sight IDEプラグインにより、シノプシスの提供する各種開発ソリューションの強力な機能を開発者の既存の作業環境に組み込んでいくことが可能となり、コーディング作業と平行してそこに潜む脆弱性を容易に発見して修正していくことができる。Code Sightにより、IntelliJ、Visual Studio、Eclipseといった統合開発環境(IDE)にイニシャルでプラグイン可能となり、セントラル・アナリシス・サーバーとして提供される強力な解析エンジンによる高速な追加解析を実行できるため、開発効率を低下させること無く一貫性の高い徹底した結果品質を確保できる。また、状況に応じて適切なeLearningモジュールともリンクされているため、開発者は、問題を迅速に解決したり、よりセキュアなコードを書き進めていくために必要なトレーニングを受けることができる。
問題点の発見から予防へのシフト
Polarisは、CI/CD(継続的インテグレーション/継続的デプロイメント)開発フローの一部としてのセントラル・サーバー上と開発者のマシンの両方で共通の強力な解析エンジンを利用できる唯一のソリューションであり、これにより追加のスキャンを高速に実行できる。また開発者は、コーディングを進めつつ脆弱性対策を実行できるようになるため、レポジトリに格納された後にコードベースをチェックするのではなく、あらかじめよりセキュアなコードを開発することができる。この二つのセキュリティ対策フローにより、開発者のコーディング効率を大幅に向上させられるだけでなく、残った不具合をセントラル・アナリシスによりプロダクション・コードとしてリリースする前に除去できる。
シンプルでフレキシブルな活用
Polarisのセントラル・サーバーはクラウド上で提供されるため、柔軟な運用が可能となる。すなわち、デプロイメントの管理、セキュリティ・スキャンの実行、その結果の解析、CoverityやBlack Duckといったシノプシスが提供する解析エンジンを用いた各種修正作業の連携などを、直感的なWebベースのユーザー・インターフェイスを通じて実行/管理できる。また既存の開発環境や、Jenkins、Jira、Slack、Red Hat OpenShift、KubernetesといったDevOpsオーケストレーション・ツールを用いて、SDLC全般にわたってセキュリティ解析作業を統合/自動化できる点もこのプラットフォームならでは柔軟性である。
リスク・レポートの一元管理
Polarisにより、アプリケーション・ポートフォリオ全体を通じて、また時間の経過を通じて、統合整理されたレポートと各種セキュリティ解析エンジンからの結果を格納したインタラクティブなダッシュボードの内容を網羅したセキュリティ・リスク管理が可能となる。またこのプラットフォームのAPIにより、シノプシスの各種セキュリティ・テスト・ツールの解析結果とサードパーティのセキュリティ・リスク・レポートの結果を容易に統合活用できる。
Polarisソフトウェア・インテグリティ・プラットフォームの詳細は下記より入手可能。
https://www.synopsys.com/ja-jp/software-integrity/polaris.html#security
関連ブログには下記より参加可能
https://www.synopsys.com/blogs/software-security/
Webセミナーには下記より参加可能
https://www.brighttalk.com/webcast/13983/349978?utm_source=pressrelease
シノプシスは、2019年3月4日から8日までの間、サンフランシスコで開催されるRSA ConferenceのSouth Expo HallにてPolaris ソフトウェア・インテグリティ・プラットフォームを展示紹介する。ブース番号は1135。RSA Conferenceには下記より参加登録可能。新規参加登録のRegistration CodeはXSU9SYNPSYS。
https://www.rsaconference.com/events/us19/register
シノプシス・ソフトウェア・インテグリティ・プラットフォームについて
シノプシスのソフトウェア・インテグリティ・グループは、セキュアで高品質なソフトウェア開発を可能にし、リスクの最小化と開発効率/スピードの最大化を実現するソリューションで企業/団体を支援している。シノプシスはアプリケーション・セキュリティ・テストのリーディング・カンパニーとして高い評価を受けており、静的解析、ソフトウェア・コンポジション解析、動的解析のソリューションを提供している。これにより、ソフトウェア開発企業/団体が独自開発しているコード、用いているオープンソース・ソフトウェア、アプリケーション動作の中に潜む脆弱性や欠陥を短時間で特定/修正することが可能となる。業界をリードするツールならびにサービス、専門技術の組み合わせにより、ソフトウェア開発企業/団体がDevSecOps(開発とセキュリティ確保と運用の連携)プロセスやソフトウェア開発ライフサイクルを通じてセキュリティとクオリティの最適化を達成できるよう支援している企業はシノプシスのみである。
詳細な情報は、https://www.synopsys.com/ja-jp/software-integrity.htmlより入手可能。
シノプシスについて
Synopsys, Inc.(Nasdaq上場コード:SNPS)は、我々が日々使用しているエレクトロニクス機器やソフトウェア製品を開発する先進企業のパートナーとして、半導体設計からソフトウェア開発に至る領域(Silicon to Software)をカバーするソリューションを提供している。電子設計自動化(EDA)ソリューションならびに半導体設計資産(IP)のグローバル・リーディング・カンパニーとして長年にわたる実績を持ち、ソフトウェア品質/セキュリティ・ソリューションの分野でも業界をリードしており、世界第15位のソフトウェア・カンパニーとなっている。シノプシスは、最先端の半導体を開発しているSoC(system-on-chip)設計者、最高レベルの品質とセキュリティが要求されるアプリケーション・ソフトウェアの開発者に、高品質で信頼性の高い革新的製品の開発に欠かせないソリューションを提供している。
詳細な情報は、http://www.synopsys.com/japanより入手可能。
# # #
Synopsysは、Synopsys, Inc.の登録商標または商標です。
その他の商標や登録商標は、それぞれの所有者の知的財産です。
<お問い合わせ先>
日本シノプシス合同会社 フィールド・マーケティング・グループ 藤井 浩充
TEL: 03-6746-3940 FAX: 03-6746-3941