最新情報

[プレスリリース] Contrast Securityがインタラクティブ・アプリケーション・セキュリティ・テスティング(IAST)で業界初となるGo言語をサポート

〜新しいエージェントにより、従来のアプリケーションセキュリティ製品(SASTなど)と比較して飛躍的に精度向上および誤検知削減:特にAPIセキュリティにとって重要〜


Contrast Securityは、業界で最も包括的なDevSecOpsソリューションであるContrastアプリケーション・セキュリティ・プラットフォームに、Go言語に対応するエージェント(以下、Contrast Goエージェント)を追加したことを発表しました。Contrast Goエージェントにより、アプリケーション外部からセキュリティを検出する従来型のセキュリティテストによって生じる脆弱性の誤検知を削減することが出来ます。Contrastを使用してアプリケーションの内部から脆弱性を検出することで、誤検知に起因するセキュリティノイズの大幅な削減が可能となり、アプリケーションの開発者は脆弱性を簡単かつ迅速に修正出来るようになります。

Contrast Goエージェントの新たなリリースにより、Contrastのインタラクティブ・アプリケーション・セキュリティ・テスティング(IAST)が、Go言語で開発されたアプリケーションに対応しました。このリリースは、アプリケーション・プログラミング・インターフェイス(API)の保護が必要な企業にとって非常に重要です。APIの構築はGo言語の主な用途のひとつであるため(Go言語の開発者の74%がAPIを開発)、企業はこれまで、従来のアプリケーションスキャンを使用してこれらのAPIの脆弱性を確認しなければなりませんでした。従来のスキャンツールでは誤検知が発生するだけでなく、未知の脅威を見逃していました。Contrast Goエージェントは、ソフトウェア構成分析(SCA)により既知の脆弱性を特定し、APIランタイムを分析し未知の脆弱性を検出することが出来ます。また、その後に未知の脆弱性が新たに検出された場合、影響を受ける可能性のあるアプリケーションがContrast DevSecOpsコントロールセンター(GUI)に表示されます。

Contrast Securityの最高製品責任者であるスティーブ・ウィルソンは「Contrastプラットフォームの対象範囲を広げてGo言語アプリケーションまでサポートすることで、企業はWebアプリケーションのテストと実行時において、アプリケーションのリスクをこれまで不可能だった方法で劇的に削減します」と述べています。 「Contrast Securityは、アプリケーションセキュリティにおける従来のツール(SASTなど)から生じる誤検知によるセキュリティアラートを削減します。このような誤検知によるアラートはセキュリティチームを疲弊させ、開発リリースサイクルを滞らせます。Go言語のアプリケーションに適した脆弱性テスト手法はこれまでに存在しませんでした。Contrast Goエージェントにより、重要な脆弱性を検出するだけでなく、開発者自らが脆弱性の修正を簡単かつ迅速に実施出来るようになります。」

Contrastのプラットフォームにより、企業はGo言語アプリケーションのカスタムコードとオープンソースコードの両方の脆弱性に対処することができます。Contrastの統合的な脆弱性検出アプローチは、センサーをアプリケーション内部に組み込んでデータフローを追跡することで、パストラバーサルからインジェクション攻撃まで、脆弱性の検出精度と品質を向上させます。Contrast Goエージェントは、ビルド時にセキュリティセンサーを組み込むことによって機能し、フェイルセーフなセンサーとして、さまざまなメソッドに対してその動作内容に応じて追加されます。 パフォーマンスへの影響は低く、QAやテスト環境に多少影響を与えるだけです。 ビルド時のオープンソースのライブラリー(OSS)の脆弱性分析は数秒で終了します。

Contrastの独自のアプローチは、セキュリティテストを効率化するだけでなく、パフォーマンスへの影響を及ぼすことなく、本番環境におけるアプリケーションを保護しリスクを大幅に削減します。Contrastのアプリケーション・セキュリティ・プラットフォームでは、Java、.NET、Node.js、Ruby、Pythonと幅広い言語をサポートしていますが、今回のGo言語のサポートを加えてさらに充実しました。

Contrast Security Japan


SUBSCRIBE TO THE BLOG