Skip to content

Contrast SCA

開発ライフサイクルにおけるソフトウェアサプライチェーンの可視化

Contrast SCAは、コーディングからテスト、本番稼動までのソフトウェア開発ライフサイクル全体において、サードパーティのコンポーネントによる真の脅威を特定し、ソフトウェアサプライチェーンを保護。

visibility-icon-01

エンド・ツー・エンドのソフトウェアサプライチェーンを可視化

オープンソース、業務用、プロプライエタリのコード等、ソフトウェアサプライチェーンに埋め込まれたセキュリティギャップを把握し、開発環境から本番環境まで可視化。

ease of use-01-1

開発者の使いやすさ

開発者のCI/CDプロセスにセキュアコーディングを組み込むことで、ビルドやテストのワークフローにおいて、シフトレフトを支援。

no-testing-silo-01

テストサイロが不要

開発ライフサイクルの各段階で、カスタムコードとサードパーティのコードの両方を含むアプリケーション全体をテストします。それにより、どのライブラリがアプリケーションによって呼び出されているかを指摘し、修正することが可能。

Contrastセキュアコードプラットフォームを使用し、我々が作ったソフトウェアに、Log4jへのゼロデイ攻撃に対する脆弱性があるかを、ライブラリメニューを見るだけですぐに判断する事が出来ました! 驚くべき速さです!

CISO  サンドル・インツェ

cmlogo
log4j-logo-white
Log4jに対応するContrast SCA

Contrast SCA は、アプリケーションが脆弱なバージョンの log4j を使用していることを検出していました。また、弊社のランタイムコンテキストは、CVEが悪用される可能性のある特定のクラスJMSAppenderを使用しているアプリケーションを識別することが出来ます。

Contrast SCAの機能紹介

製品担当者がContrast SCAの主な機能を紹介するデモをご覧ください。

sca-demo

ソフトウェアの可観測性

ソフトウェアライフサイクル全体にサードパーティソフトウェアのテストを組み込み

  • Contrastアプリケーションセキュリティプラットフォーム上の共通サービスとして、Contrast SCAは追加のツールを導入することなくサードパーティソフトウェアを測定可能
  • カスタムコードとサードパーティのコードを同時に評価することで、誤った調査結果を回避
  • 脆弱性のあるサードパーティのライブラリテストをネイティブCI/CDおよびランタイムテストに組み込み
  • クラウドネイティブアプリケーション内のライブラリリスクを監視し、本番環境における脆弱性のあるライブラリへの攻撃を防御
integrated-sca
runtime-usage

ランタイムライブラリの使用方法

どのライブラリが使われているかによって、最も緊急性の高いリスクを優先順位付け

  • アプリケーション内のライブラリの使用状況とその頻度を、特定のクラス、ファイル、モジュールに至るまで明確化
  • 実行時に実際に呼び出されるライブラリに基づき、修正ワークフローを優先順位付け
  • 最も関連性の高いサードパーティソフトウェアのリスクに焦点を当て、脆弱性のあるライブラリを迅速に修正可能

依存関係のリスク管理

依存関係のリスクを考慮し、セキュリティ対応の負担を軽減

  • Contrast CLIをネイティブのCI/CDプロセスに統合して、依存関係ツリーを生成し、潜在的なリスクを表示
  • 依存関係かく乱(Dependency Confusion)の可能性を特定し、ソフトウェアサプライチェーンリスクを明示
  • アプリケーションにおける依存関係をコンテキスト化し、修正を効率化
risk-mngt
real-time-inventory-4

リアルタイムのインベントリとガバナンス

サードパーティソフトウェアのインベントリを把握し、拡張性のある制御を実現

  • ライブラリのバージョン管理、脆弱性、ライセンス、環境データを、標準化されたソフトウェア部品表(SBOM)として出力
  • デプロイされたライブラリの新たな脆弱性に対する自動アラートにより、起こり得る脅威への迅速な対応が可能
  • サードパーティのセキュリティとライセンスの為のポリシーコントロールを導入し、ネイティブパイプラインで実施

セキュアコーディングを実現する為のリソース

sca-ds-tb-1

Contrast SCA: 製品資料
オープンソースのセキュリティソフトウェアとコンプライアンスを自動化

Contrast SCAをネイティブワークフローに組み込むことで、開発者がセキュリテの安全性を保ちつつ、サードパーティライブラリを活用する方法を紹介。

3ways-supply-chain-ebook-tb

Ebook:ソフトウェアサプライチェーンを保護する3つの手法

本資料では、Contrastがどのように企業のソフトウェアサプライチェーンを安全管理し、保護しているかを説明。

cs-open-source-report-tb

レポート: 2021年オープンソースセキュリティの現状

2021年版オープンソースセキュリティの現状に関するレポートは、Contrast SCAとContrast Assessを導入している実際のアプリケーションからのテレメトリを使用し、ライブラリの使用状況、脆弱性、ベストプラクティスの主な傾向を調査結果として報告。

Contrast SCAを体験

統合されたセキュアコーディングプラットフォームと提携により、どのようにソフトウェアサプライチェーンを保護する方法を実際のデモでご覧下さい。

Contrastセキュアコードプラットフォーム
製品一覧

contrast-scan

Contrast Scan

高いスキャン精度で脆弱性を迅速に特定し、修正

contrast-assess

Contrast Assess

画期的な IASTの技術でコード全てを保護

contrast-protect

Contrast Protect

既知および未知の脆弱性へのランタイム攻撃を高い精度で検知しブロック