検索

ソフトウェア構成分析

開発者向けの統合機能とコンテキストを考慮した優先順位付けによって、オープン ソースの脆弱性とライセンスのコンプライアンス問題に未然に対処します。
デモのお申込み
Host Security Hero Front Image

脆弱性が至る所に広がり、捉えにくくなる中、より迅速、容易かつシームレスにオープン ソースのリスクに対処する方法が求められています。クラウドネイティブ インフラストラクチャとアプリケーション レイヤーの境界が曖昧になっている今、DevOpsツールに組み込んで、ソースでコードのセキュリティを確保する好機です。オープン ソースのセキュリティとコンプライアンスに対して一貫したアプローチを取ることにより、誤検知を最小限に抑え、分析結果を優先順位付けし、より迅速にコードのセキュリティを確保できます。

クラウドネイティブ アプリケーションはオープン ソースに依存

オープンソース ソフトウェア(OSS)は、クラウドネイティブ アプリケーションの大きな部分を占めています。そのおかげで、開発者は同じものを一から作り直すことなく、いち早くスタートを切ることができます。そうした利点の一方で、サードパーティのオープン ソース ソフトウェアにはセキュリティとコンプライアンス上のリスクがあり、クラウドネイティブ セキュリティ プログラムの一環として対処する必要があります。

依存関係の無秩序な広がりがリスクを生む

オープン ソース ソフトウェアは、パッケージの依存関係が幾重にも重なっており、アプリケーション スタック全体のどこに、どのような形でOSSが使用されているのかを把握することは困難です。その上、脆弱性は推移的パッケージに潜んでいることもよくあります。それらの脆弱性やライセンスを把握するには、連続的かつ統合的なアプローチが必要です。

サイロ化したセキュリティ ツールがカバー範囲のギャップを生む

アプリケーションのインフラストラクチャの完全なコンテキストがなければ、アプリケーション内で検出された脆弱性が実際に露出しているのか、低リスクなのかを判断するのは困難です。アプリケーション セキュリティとインフラストラクチャ セキュリティの分析結果を関連付けることにより、コードベース全体のコンテキストで脆弱性が浮かび上がり、より的確な優先順位付けと迅速な修復が可能になります。

Cortex® Cloudなら、開発スピードを落とすことなくオープン ソースのリスクを容易に排除できます。

Cortex Cloudは、DevOpsツールに統合することで、コーディングからビルド、デプロイ、実行時まで、オープン ソース パッケージの脆弱性とライセンス コンプライアンスの問題を積極的にスキャンします。インフラストラクチャおよびアプリケーションのコードレベルの弱点、依存関係の完全な推定、きめ細かなバージョン バンプの修正を関連付けるCortex Cloudのデータ モデルは、他のSCAソリューションとは一線を画しています。
  • 接続されたインフラストラクチャとアプリのリスクに対する単一のビュー
  • 開発者ツールやワークフローに統合
  • パッケージとコンテナ イメージのフル ライフサイクル セキュリティ
  • 信頼できるソースが基盤
    信頼できるソースが基盤
  • 開発者に優しい統合
    開発者に優しい統合
  • 無制限の依存関係ツリー スキャン
    無制限の依存関係ツリー スキャン
  • バージョン バンプの修正
    バージョン バンプの修正
  • ライセンス分析と監査レポート
    ライセンス分析と監査レポート
  • カスタム適用ルール
    カスタム適用ルール
CORTEX CLOUDソリューション

コンテキストを考慮した開発者第一のソフトウェア構成分析アプローチ

精度が高くコンテキストを考慮

Cortex Cloudのソフトウェア構成分析(SCA)機能は、最も信頼できる脆弱性データベースをベースに構築され、業界で最も堅牢なインフラストラクチャ ポリシー データベースに接続されており、開発者がリスクを理解し、素早く修正を実施するのに必要なコンテキストとともに脆弱性を明らかにします。Cortex Cloudは、次の大きな脆弱性の迅速な阻止に必要な範囲でオープン ソースをカバーします。

  • 言語およびパッケージ マネージャ全体を卓越した精度でスキャン

    すべての主要言語と30以上のアップストリーム データ ソースをサポートし、誤検知を最小限に抑えながら、オープン ソース パッケージ内の脆弱性を検出します。

  • 業界トップクラスの情報源を活用し、完全オープン ソースのセキュリティに自信を

    Cortex Cloudは所在を問わずオープン ソースの依存関係をスキャンし、NVDなどのパブリック データベースやCortex Cloud Intelligence Streamと比較して脆弱性を検出し、重要な修正情報を提示します。

  • インフラストラクチャとアプリケーションのリスクを関連付け

    コードベース内の実際に露出している脆弱性を絞り込むことで誤検知を抑制すると同時に、修復の優先順位付けを迅速化します。

  • 依存関係の深さに関係なく脆弱性を検出

    Cortex Cloudは、パッケージ マネージャのデータを取り込んで依存関係ツリーを最深部まで推定することで、ビューからは見えないオープン ソースのリスクを特定します。

  • ソフトウェア サプライ チェーンを可視化してカタログ化

    サプライ チェーン図により、パイプラインとコードの統合インベントリを提供します。これらの接続をすべて可視化するだけでなく、ソフトウェア部品表(SBOM)を生成することもできるため、アプリケーションのリスクと攻撃対象領域を把握しやすくなります。

精度が高くコンテキストを考慮

柔軟な修正を完全に統合

オープン ソース ライブラリの使用方法と使用場所に関するコンテキストを完全に把握しているのは開発者だけです。したがって、脆弱性を修正するには開発者にフィードバックを提供するのが一番です。SCAは、Cortex Cloudのネイティブ開発者ツール統合とCLIツールの拡張性を生かして開発者のワークフローに完全に統合されているため、適切な場所とタイミングで脆弱性が提示されます。

  • 開発者ツールとワークフローにオープン ソース セキュリティを統合

    IDEとVCSのプル/マージ リクエストを通じて脆弱性を開発者にリアルタイムにフィードバックし、新しいパッケージをコードベースに安心して統合できるようにします。

  • ライフサイクルを通じてカスタム ポリシーを作成して適用

    リポジトリ、レジストリ、CI/CDパイプライン、ランタイム環境をスキャンし、ブロックまたは許可するソフトウェアを判定する脆弱性管理を統合します。

  • 互換性を破る変更を回避しながら問題を修正

    重要機能が動作しなくなるリスクを回避しつつ、直接/推移的依存関係に含まれる脆弱性の修正に必要な最低限の更新を提案します。また、パッケージごとにバージョンを細かく選択できる柔軟性を有し、複数の問題を一度に修正できます。

  • ソフトウェア部品表を作成

    Cortex Cloudは、リポジトリ内の依存関係を見つけ、ソフトウェア部品表(SBOM)とインフラストラクチャ部品表(IBOM)を作成し、標準形式でエクスポートします。

柔軟な修正を完全に統合

CNAPPの要素

クラウド ネイティブ アプリケーションの保護に際して完全なカバー範囲を確保する唯一の方法は、開発ライフサイクルの各レイヤー、各ステップで脆弱性をスキャンすることです。SCAは、コードからクラウドまでのリスクを特定するCortex Cloudのクラウドネイティブ アプリケーション保護プラットフォームの数あるコンポーネントの1つです。

  • ソフトウェアの開発時とテスト時のコードに含まれるリスクを特定

    GitHubなどのリポジトリや、Docker、Quay、Artifactoryなどのレジストリの全体にわたって、オープン ソース パッケージとイメージに脆弱性やコンプライアンスの問題がないかチェックします。

  • 導入を検証済みイメージに限定

    Cortex Cloudのイメージ スキャン機能とコンテナ サンドボックス分析機能を利用して、不正なイメージを検出・ブロックし、安全なイメージだけを本番環境に導入します。

  • あらゆるランタイム環境でのアクティビティを防止

    一元化されたコンソールからランタイム ポリシーをすべて管理し、あらゆる導入に常にセキュリティが組み込まれるようにします。インシデントを詳細なフォレンジックと豊富なメタデータとともにMITRE ATT&CKフレームワークに関連付けることで、SOCチームが一時的なクラウド ネイティブ ワークロードに対する脅威を追跡するのに役立ちます。

  • コンテキストを考慮したランタイム セキュリティ

    完全なクラウド資産インベントリ、設定評価、自動修復などにより、実行時のデータ侵害やコンプライアンス違反につながる設定ミスや脆弱性を検出して防止します。

CNAPPの要素

コード セキュリティ モジュール

IaCセキュリティ

開発ワークフローに組み込まれた自動IaCセキュリティ

詳細

アプリケーション セキュリティ体制管理

リスクが本番環境に到達しないようにブロックし、問題をソースで迅速に修復します。

詳細

ソフトウェア サプライチェーン セキュリティ

CI/CDのパイプラインを強化し、アタック サーフェスを縮小し、アプリケーション開発環境を保護。

詳細

シークレット セキュリティ

リポジトリとパイプラインに対するフルスタックの多面的なシークレット スキャン。

詳細

最新ニュース、イベント情報、脅威アラートを配信