IDE上でSCAとSASTの両方を実行できる新しいPolarisの機能により、第三者と自社開発のソフトウェア・コンポーネントの両方に渡ってセキュリティ・リスクの事前特定と修正が可能に
2020年2月12日 カリフォルニア州マウンテンビュー発 - シノプシス(Synopsys, Inc.、Nasdaq上場コード:SNPS)は本日、Polaris Software Integrity Platform™のメジャー・アップデートを2月18日に行うことを発表した。これにより、ソフトウェア開発者は、Code Sight™ IDEプラグインのネイティブ統合を通じてシノプシスの静的アプリケーション・テスト(SAST)ならびにソフトウェア・コンポジション解析(SCA)をデスクトップで実行可能となる。この業界初のソリューションにより、現状の統合開発環境(IDE)上で、自社開発中のソフトウェア・コードに潜むセキュリティ脆弱性だけでなく、オープンソース・コード上の既知の脆弱性も事前に特定/修正できるようになる。
この新機能は2月24~28日にサンフランシスコで開催されるRSA Conference 2020のシノプシス・ブース(ブース番号:S-1135)でデモ展示される。事前登録コードXS0USYNOPを使用すればRSA Expo優待パスを入手可能。
シノプシス ソフトウェア・インテグリティ・グループ ソリューション担当副社長 Simon Kingは、次のように語っている。「現在のソフトウェア開発環境においては、セキュリティ・テスト工程を開発者のワークフローにシームレスに統合することが求められていることはもちろんですが、さらにそのテスト工程は自社開発のコードと第三者が開発したコードの両方をカバーする必要があります。SASTとSCAをIDE上でリアルタイムに実行可能にするソリューションの活用により、開発者の皆様は、アプリケーション開発プロセスの中で、自身のソフトウェア・コードと、活用するオープンソース・コンポーネントのコードの両方に潜むセキュリティ上の欠陥を特定することが可能となります。開発者は、次のタスクに移行した後に問題点が数日間あるいは数週間、場合によっては数か月間も放置されたままになる場合に発生する開発リスクや開発効率の低下を回避し、問題点をリアルタイムに修正していくことが可能となるのです。今回の最新リリースで実現したCode Sight IDEプラグインのネイティブ統合により、セキュアで高品質なソフトウェアをより短期間で開発することができるようになります」
新しいCode Sight IDEプラグインの概要は下記の通りである。
2019年に提供を開始したCode Sight SAST機能をベースに、IDE上でSASTを実行しつつ、既知の脆弱性を抱えたまま使用され続けているオープンソース・コンポーネントのセキュリティ解析も実行できる機能を提供する。
新しいSCA機能により、脆弱なコンポーネントが抱えている既知の弱点を検査し、リスクの検証と回避策を既存のIDE上で実施することができる。
Code Sightプラグインにより、シノプシスが蓄積してきたBlack Duck Security Advisories (BDSAs)の脆弱性情報、ならびに米国立標準技術研究所(NIST)の脆弱性情報データベース(NVD:National Vulnerability Database)に採番されている共通脆弱性識別子(CVE:Common Vulnerabilities and Exposures)の情報を活用可能となる。
NVDの情報よりもタイムリーかつ高精度で広範囲なリスク/回避策情報を提供するBDSAsの活用により、他のソリューションよりも効率的な脆弱性の特定/修正をより短期間で実行可能となる。
詳細な回避策ガイダンスを提供するCode Sightプラグインにより、最善の修正手段を迅速に決定/選択可能となり、より安全性の高いコンポーネントの選択が可能となる。また、ワークフローを中断したりIDEから離れることなく、直ちに修正を施すことができる。
詳細な情報は下記より入手可能。
https://www.synopsys.com/blogs/software-security/code-sight-ide-plugin-sca/?cmp=pr-sig
シノプシス・ソフトウェア・インテグリティ・プラットフォームについて
シノプシスは、ソフトウェア・インテグリティ・プラットフォームを通じて、ソフトウェアの品質とセキュリティを向上させ、それらに関するリスクを開発期間の長期化や開発効率の低下を引き起こすことなく最小化するための最先端のソリューションを提供している。シノプシスはアプリケーション・セキュリティ・テストのリーディング・カンパニーとして高い評価を受けており、静的解析、ソフトウェア・コンポジション解析、動的解析のソリューションを提供している。これにより、ソフトウェア開発企業/団体が独自開発しているコード、用いているオープンソース・ソフトウェア、アプリケーションの中に潜む脆弱性や不具合を短時間で特定/修正することが可能となる。業界をリードするツールならびにサービス、専門技術の組み合わせにより、ソフトウェア開発企業/団体がDevSecOps(開発とセキュリティ確保と運用の連携)プロセスやソフトウェア開発ライフサイクルを通じて最大限のセキュリティと品質を達成できるよう支援している企業はシノプシスのみである。
詳細な情報は、https://www.synopsys.com/ja-jp/software-integrity.htmlより入手可能。
シノプシスについて
Synopsys, Inc.(Nasdaq上場コード:SNPS)は、我々が日々使用しているエレクトロニクス機器やソフトウェア製品を開発する先進企業のパートナーとして、半導体設計からソフトウェア開発に至る領域(Silicon to Software™)をカバーするソリューションを提供している。電子設計自動化(EDA)ソリューションならびに半導体設計資産(IP)のグローバル・リーディング・カンパニーとして長年にわたる実績を持ち、ソフトウェア品質/セキュリティ・ソリューションの分野でも業界をリードしており、世界第15位のソフトウェア・カンパニーとなっている。シノプシスは、最先端の半導体を開発しているSoC(system-on-chip)設計者、最高レベルの品質とセキュリティが要求されるアプリケーション・ソフトウェアの開発者に、高品質で信頼性の高い革新的製品の開発に欠かせないソリューションを提供している。
詳細情報は、https://www.synopsys.com/ja-jpより入手可能。
# # #
Synopsysは、Synopsys, Inc.の登録商標または商標です。
その他の商標や登録商標は、それぞれの所有者の知的財産です。
<お問い合わせ先>
日本シノプシス合同会社 フィールド・マーケティング・グループ 藤井 浩充
TEL: 03-6746-3940 FAX: 03-6746-3941