画期的なパイプラインネイティブのコード分析型セキュリティテストツール「Contrast Scan」を新たに追加し、Contrast アプリケーションセキュリティ・プラットフォームはDevSecOpsのライフサイクルを完全にカバー
2021 年 6 月、米国カリフォルニア州ロスアルトス –
Contrast Securityは、静的アプリケーションセキュリティテスト (SAST) に革命をもたらす新製品「Contrast Scan」のリリースを発表しました。これにより、パイプラインネイティブの静的アプリケーションセキュリティテストによってコードを分析し、ソフトウェア開発ライフサイクル(SDLC)において、より早い段階で脆弱性を検出できるようになります。「Contrast Scan」のリリースによって、Contrastアプリケーションセキュリティ・プラットフォームで実現できるDevSecOps 機能が SDLC 全体に拡張されるため、企業のセキュリティ担当はセキュリティポリシーのコンプライアンスに対応しながら、コードのスキャンを最大で10倍高速化し、脆弱性の修正を最大45倍の速さで実施出来る様になります。
従来の静的アプリケーションセキュリティテスト(SAST)では、ノイズが発生し易いルールセットを採用しコード品質の問題を検出しています。このようにアプリケーションの外側から内部を確認する手法では、脆弱性の調査に多くの時間とリソースを費やす膨大な量の誤検出が発生し、最悪の場合に誤検出の割合が85% に達します。また、開発者向けの新しいコードスキャンツールでは、アプリケーションセキュリティが極端にシフトレフトして誤検出の問題が悪化し、開発者は優先順位付けや修正を適切に実施出来なくなっています。そのため、従来の静的アプリケーションセキュリティテスト(SAST)を利用されている実務担当者の3分の2は、別のアプリケーションセキュリティテストツールの導入を検討しています。
「Contrast Scan」 は、パイプラインを意識したアプローチでこれらの課題を解決することを目指しており、速度・精度・開発者の使用感を劇的に改善してリリースサイクルを遅らせる非効率性や障害を除くことで、デジタルトランスフォーメーション(DX)を加速します。「Contrast Scan」は、迅速かつ簡単に利用することが出来ます。細かい設定は必要無く、3回クリックするだけで検出結果を得る事が出来ます。さらに、「Contrast Scan」はContrastアプリケーションセキュリティ・プラットフォームの一部として統合されているため、SAST、IAST(インタラクティブ・アプリケーションセキュリティテスト)、ランタイム保護(RASP)と可観測性およびソフトウェア構成分析 (SCA) 全てを同一の DevSecOpsプラットフォーム上で利用することが出来ます。
「Contrast Scan」の主な特長:
- 重大な脆弱性を10 倍の速さで検出
「Contrast Scan」は画期的なデマンドドリブン方式のアルゴリズムにより静的アプリケーションセキュリティテストエンジンを強化しており、リスクの無い脆弱性を無視して、悪用される可能性のある脆弱性のみを特定することができます。その結果、「Contrast Scan」はスキャンの実行時間を 10 分の1に短縮出来ます。スキャンを高速化することで、DevOpsのイノベーションを遅延させるセキュリティ対応を短縮し、開発とセキュリティ担当間の効率化を図ります。 - 修正スピードが45倍にアップ
Contrast プラットフォームの幅広い機能と組み合わせて使用すれば、「Contrast Scan」は脆弱性の修正時間を最大45分の1に短縮することが出来ます。これは、開発者が悪用可能なフローに注力しランタイムおよび本番環境のトラフィック分析に基づいてエントリポイントのあるルートに優先順位を付け、脆弱性修正ガイダンスを活用することにより実現します。セキュリティに掛かる負担が削減されアプリケーションのセキュリティリスクが軽減します。 - アプリケーションセキュリティの効率が30%向上
パイプラインネイティブの静的アプリケーションセキュリティテストをContrastアプリケーションセキュリティプラットフォームに統合することで、セキュリティ担当はスキャン、トリアージ、修正業務を最大30%効率化させることが出来ます。Contrastの包括的なDevSecOpsアプローチにより、最新のアプリケーション開発や本番環境で一般的となっている迅速なリリースサイクルにセキュリティが組み込まれます。また、アプリケーション開発から本番環境まで最適化されたアプリケーションツールを提供することによって、DevSecOpsのライフサイクルを完全にカバーします。これにより、コンプライアンスレポートを迅速に作成しコンプライアンス対応に掛かる時間が、数日から数分に短縮されます。
今日の企業は、開発スピードとセキュリティのいずれかの選択を迫られるべきではありません。「Contrast Scan」の追加により、Contrastアプリケーションセキュリティ・プラットフォームはDevSecOps対応を実現し、組織は開発者のデスクトップ、リリースゲート、または本番環境など、どこからでもアプリケーションを保護できます。Contrastプラットフォームは、SCA、アプリケーションセキュリティテスト(AST)、およびSDLC全体でエージェントによる攻撃ブロック機能を提供し、真のDevSecOpsを実現することを目的として開発されました。
「『Contrast Scan』 は、アプリケーションのセキュリティチームと開発チームの双方にとってゲームチェンジャーとなります」と、Contrast Security の最高製品責任者であるSteve Wilsonは述べています。 「開発ライフサイクルの早い段階でアプリケーションの脆弱性について、これまでに無い可観測性を得ることが出来ます。従来の静的アプリケーションセキュリティテスト(SAST)の様な誤検出によるノイズは一切ありません。これは、企業のアプリケーションがより高い安全性を保ちつつ、開発スピードを維持出来ることを意味します。」
「Contrast Scan」についての詳細は下記ページをご覧ください。(英語)
https://www.contrastsecurity.com/pipeline-native-static-analysis
Contrast Securityについて
Contrast Securityはアプリケーションセキュリティにおけるリーディングカンパニーです。Webアプリケーションの開発段階でアプリケーションに潜む脆弱性を高精度で解析し、本番環境では外部からの攻撃を迅速に検出しブロックすることが出来ます。
特許取得済み技術「ディープセキュリティ・インスツルメンテーション」により、企業はソフトウェア開発ライフサイクル(SDLC)への展開を簡単且つ迅速に実現します。従来の非効率的なアプリケーションセキュリティ(SAST、DASTおよびWAF)から完全に置き換えることにより、時間やコストを消費する脆弱性スキャンの排除やインフラ業務、セキュリティエンジニアのリソースを軽減します。Contrastのアプリケーションセキュリティは、SDLCを加速し、未知の脅威からアプリケーションを保護しながらビジネスの成長を促進します。