アプリケーション・セキュリティ・テスト

開発からデプロイまで、SDLC全体にアプリケーション・セキュリティ・テストを組み込む

ご相談ください

アプリケーションの脆弱性は、ハッカーの第一の標的です。しかし、モダン・アプリケーション開発の複雑さとペースの速さにより、セキュリティ問題の効果的な検出と修正はますます困難になっています。Synopsysでは、アプリケーションのライフサイクルのすべての段階で、独自開発コードとサードパーティー・コードのセキュリティ上の弱点と脆弱性に対処するために必要なツールとサービスをチームに提供します。

すべてに対処できるAppSecツールはありません

うまく対処するには、ソフトウェア開発ライフサイクル（SDLC）全体で複数のセキュリティ解析技術を統合する、全体的なアプローチが必要です。

オープンソース

独自開発コードとフレームワーク

Web UI / サービス・インターフェース

オープンソース +

ソフトウェア・コンポジション解析

オープンソースはほとんどのアプリケーションの基盤であり、多くの場合、コードの75%以上を占めています。ソフトウェア内のすべてのオープンソースを追跡できるように、信頼できるソフトウェア・コンポジション解析ソリューションが必要です。それによって、Log4Jのような広く使用されているコンポーネントの脆弱性（CVE）を標的とした、ハッカーによるアプリケーションの侵害を防ぐことができます。

Software Composition Analysis: Detect and manage open source and third-party component risks in development and production | Synopsys

独自開発コードとフレームワーク +

静的解析

ほとんどの開発者はセキュリティのエキスパートではありません。犯しやすいコーディングのミスによってセキュリティ上の弱点（CWE）が露呈されれば、重大な影響を及ぼしかねません。開発チームがコーディングする際に、セキュリティ上の不具合を速やかに見つけて修正できるようにするには、迅速かつ正確な静的解析が必要です。

Static Analysis: Proprietary Code and Frameworks | Synopsys

Web UI / サービス・インターフェース +

インタラクティブ解析と動的解析

一部の脆弱性は、アプリケーションを起動して実行してからでないと検出できません。静的解析とソフトウェア・コンポジション解析を行っている場合でも、実行時の脆弱性についてアプリケーション、Webサービス、プロトコル、APIをテストするためのインタラクティブ解析と動的解析も必要です。

IAST and DAST: detect vulnerabilities in web applications. protcols and APIs | Synopsys

あらゆる角度から自信を持ってセキュリティに取り組む

<p>No single AppSec solution can do it all. Synopsys tools and services enable you to combine multiple analysis techniques to comprehensively test any application, service, or container.</p><ul><li><a href="/content/synopsys/en-us/software-integrity/security-testing/static-analysis-sast.html">Static analysis</a>: Identify security defects in proprietary code.</li><li><a href="/content/synopsys/en-us/software-integrity/security-testing/software-composition-analysis.html">Software composition analysis</a>: Detect vulnerable open source components and containers.</li><li><a href="/content/synopsys/en-us/software-integrity/security-testing/interactive-application-security-testing.html">Dynamic analysis</a>: Test for vulnerabilities in running applications.</li></ul>

あらゆるアプリケーションを包括的にテストする

1つのAppSecソリューションですべてに対処できるわけではありません。Synopsysのアプリケーション・セキュリティ・テスト・ツールとサービスを使用すれば、複数の解析技術を組み合わせて、アプリケーション、サービス、コンテナを包括的にテストできます。

静的解析: 独自開発コードのセキュリティ上の不具合を特定します。
ソフトウェア・コンポジション解析: 脆弱なオープンソース・コンポーネントとコンテナを検出します。
インタラクティブ解析：DevOpsワークフローでWebアプリケーションのセキュリティ解析を自動化します。
動的解析：QAと本番環境でWebアプリケーションのセキュリティを検証します。

<p>Your developers are the first line of defense against security weaknesses (CWEs) and vulnerabilities (CVEs). Enable them to find and fix security defects as they code with <a href="/content/synopsys/en-us/software-integrity/code-sight.html">Code Sight™ IDE integration</a>. </p>

アプリケーション・セキュリティをシフトレフトする

開発チームは、セキュリティ上の弱点と脆弱性に対する第一の防衛線です。開発チームがCode Sight™ IDEを使ってコーディングする際に、セキュリティ上の不具合を見つけて修正できるようになります。

<p>Your development processes are automated. Your security testing should be, too. Integrate and automate security testing with your existing CI, repository, and workflow tools with Synopsys DevOps integrations.</p>

自動化されたSDLCにセキュリティを組み込む

開発プロセスは自動化されています。アプリケーション・セキュリティ・テストも自動化する必要があります。組み込みのSCM、CI、問題追跡機能と、Polaris Software Integrity Platform^®を統合することで、テストを簡単に統合して自動化できます。

ポートフォリオ全体のセキュリティリスクと進捗状況を追跡して管理する

AppSecチームは、ソフトウェア・リスクの実際の状況を把握するのに苦労しています。Synopsys Software Risk Managerは、既存のセキュリティ・ツール、開発ツール、ワークフローに接続して統合できる、一元管理された単一のプラットフォームを提供します。生産性指標、リスク・スコアリング、問題の傾向に関して詳細な解析結果を取得できます。