拡張性のあるソフトウェアサプライチェーンセキュリティ
重要なカスタム及びサードパーティのソフトウェアの継続的な監視と保護。
課題
ソフトウェアサプライチェーンには、自社で構築したカスタムコードに加え、不明または信頼できないソースから得たサードパーティソフトウェアに起因するセキュリティと可視性のギャップがあります。
可視性の欠如
問題: 人手不足のセキュリティチームには、環境全体に展開されている商用及びオープンソースライブラリを含まれるサードパーティのソフトウェアのインベントリをベンチマークするたの手段がありません。1日に何度も新しいコードが変更される為、セキュリティチームは、ソースが不明な何十ものライブラリの導入に対応することが出来ません。
起こりえる影響: どのサードパーティのソフトウェアにセキュリティ上の欠陥や潜在的なライセンスリスクがあるかを理解しなければ、セキュリティチームはソフトウェアのサプライチェーンのどこに脆弱性があるかを完全に把握することは出来ません。
結果の過負荷
問題: カスタムコードとサードパーティのコードを別々のツールでテストすると、誤った検出結果や、カスタムコードによってライブラリがどのように呼び出されるかについてのコンテキストが欠落する為、不要な作業に何時間もかかることになります。開発者は、膨大な量の結果がある為、どのように修正すれば良いのか、あるいはそれが有効なのかどうか、わからなくなります。
起こりえる影響: セキュリティチームは、検出結果を優先順位付けする方法がなく、重要でない結果に対する修正を追い求めることになり、開発者側との関係が悪化する可能性があります。
迅速な対応策がない
問題: 古いライブラリに新しい脆弱性が見つかると、セキュリティ負債の管理はより複雑になります。ライブラリのパッチやアップデートは、必ずしもすぐに出来るものではありません。パッチはビルドを破壊したり、特定のプロジェクトの為の活発な開発がないので、存在しないことがあります。納期を守るために、開発者は悪用可能なライブラリを含んだコードをリリースせざるを得ません。
起こりえる影響: ゼロデイ脆弱性が発生した場合、企業は脆弱性のあるライブラリを本番環境にリリースすることで、攻撃を受けるリスクを負うことになります。
Contrastソリューション
ソフトウェア開発ライフサイクル全体(コードからテスト、本番環境まで)にわたり、完全なソフトウェアサプライチェーンセキュリティを実現するプラットフォームです。
ソフトウェア部品表(SBOM)
規制や調達の要件を満たすために、ContrastはContrast CLIまたはシンプルなAPIコールを介してソフトウェア部品表(SBOM)を生成します。Contrastは、重要なセキュリティ、バージョン管理、環境、ライブラリ使用情報等、NIST(アメリカ国立標準技術研究所)が定めるSBOM標準の最小値に準拠しています。
![Screen Shot 2022-03-23 at 9.56.46 AM](https://www.contrastsecurity.com/hubfs/Screen%20Shot%202022-03-23%20at%209.56.46%20AM.png)
ソフトウェアサプライチェーンリスク
Contrastセキュアコードプラットフォームは、カスタム、商用、オープンソースのソフトウェアをカタログ化し、ビルドからテスト、本番までの開発ライフサイクル全体にわたって脆弱性を検出します。Contrastは、ネイティブなCI/CDワークフロー内でガバナンスを提供し、リスクの高いサードパーティのライブラリ、推移的依存関係、ポリシーに反するオープンソースライセンスに埋め込まれた潜在的な攻撃に対するテストします。
![integrated-sca](https://www.contrastsecurity.com/hubfs/integrated-sca.png)
ターゲットとなる実用的な検出
Contrastは、サードパーティのライブラリの新しい脆弱性、依存関係、リスクの高いオープンソースライセンスのフラグをリアルタイムに警告します。カスタムテストとサードパーティのテストを区別しない為、Contrastはランタイム中にどのライブラリが実際にアプリケーションによって呼び出されているかを知ることができ、セキュリティチームと開発チームが相関関係を調べる手間を省くことが出来ます。
![runtime-usage](https://www.contrastsecurity.com/hubfs/runtime-usage.png)
自然に攻撃から保護
パッチやアップデートが困難な場合、Contrastは脆弱なライブラリに対する攻撃からを保護することをが出来ます。Contrastは、本番環境に導入された悪用可能なライブラリを保護するためのルールをすぐに利用可能です。
![protect-1](https://www.contrastsecurity.com/hubfs/protect-1.jpg)
資料
![blog-img](https://www.contrastsecurity.com/hs-fs/hubfs/blog-img.jpg?width=788&name=blog-img.jpg)
バイデン大統領による大統領令: ソフトウェアサプライチェーンの保護
本ブログでは、バイデン大統領の大統領令が連邦政府機関にとってどのような意味を持つのか、また、今後の要件を満たすためにContrastプラットフォームがどのように役立つか説明します。
![blog-img2](https://www.contrastsecurity.com/hubfs/blog-img2.jpg)
ソフトウェアサプライチェーンのセキュリティは、ソフトウェア部品表(SBOM)からスタート
SBOMがソフトウェアサプライチェーンのセキュリティの鍵となる理由と、Contrast Securityがどのように顧客のアクセスを確保しているかをご覧ください。
![cs-sca-auto-sb](https://www.contrastsecurity.com/hs-fs/hubfs/cs-sca-auto-sb.jpg?width=794&name=cs-sca-auto-sb.jpg)
CONTRAST SCA: オープンソースのセキュリティソフトウェアとコンプライアンスを自動化
オープンソースソフトウェア(SCA)は、開発者が豊富な機能を持つアプリケーションをより効率的に構築する為に役立ちます。しかし、SCAに依存してしまうと、組織のソフトウェアサプライチェーンに複雑な階層が追加されます。
![](https://www.contrastsecurity.com/hs-fs/hubfs/Contrast-Security-Social-Graphics-Gartner-SBOM-Report_03042022-04.png?width=625&name=Contrast-Security-Social-Graphics-Gartner-SBOM-Report_03042022-04.png)
Gartnerレポート: SBOMの為のイノベーションインサイト
ソフトウェア部品表(SBOM)を管理することは、ソフトウェア開発ライフサイクル(SDLC)を通してソフトウェアコンポーネントを保護する上でどのように役立つのかをご覧ください。
![cs-webinar-040622](https://www.contrastsecurity.com/hs-fs/hubfs/cs-webinar-040622.jpg?width=869&name=cs-webinar-040622.jpg)
ウェビナー: 最新の開発パイプラインにおけるソフトウェアサプライチェーンの保護
ソフトウェアセキュリティとエンジニアリングの業界エキスパートが、ソフトウェアサプライチェーンを大規模にロックダウンする方法を議論します。
Contrastプラットフォーム
ソフトウェア開発ライフサイクル全体にわたる完全なソフトウェアサプライチェーンセキュリティのためのContrastプラットフォームの詳細についてご覧ください。