top of page

SYNOPSYSSIG-ソフトウェアの完全性

Coverity.jpg

カバレッジ-静的アプリケーションソフトウェアのテスト

Coverity®は、ソフトウェア開発ライフサイクル( SDLC )の早い段階で開発チームとセキュリティチームがセキュリティと品質の欠陥に対処し、アプリケーションポートフォリオ全体のリスクを追跡および管理し、セキュリティおよびコーディング標準への準拠。  

Coverityを使用すると、幅広いセキュリティ、品質、データ保護、および安全基準を通じて、コンプライアンスを包括的に追跡および管理できます。識別された問題をカテゴリ別に簡単にフィルタリングし、傾向レポートを表示し、重要度に基づいて脆弱性の修正に優先順位を付け、チームおよびプロジェクト全体のポリシーコンプライアンスを管理します。  

Coverityは、22の言語、70を超えるフレームワーク、および一般的に使用されるInfrastructure-as-Codeプラットフォームとファイル形式に幅広いセキュリティと品質チェッカーを提供します。

Black Duck_edited.png

BLACKDUCK-ソフトウェア構成分析

BlackDuck®ソフトウェア構成分析(SCA)は、チームがアプリケーションとコンテナーでのオープンソースおよびサードパーティのコードの使用に起因するセキュリティ、品質、およびライセンスコンプライアンスのリスクを管理するのに役立ちます。

 

Black Duckは、オープンソースガバナンスソリューションのマーケットリーダーです。この市場は、ソフトウェア構成分析または略してSCAとして知られています。すべてのSCAベンダーが使用する基本的なモデルは、ソースコードをスキャンして手がかりを探し、どのオープンソースライブラリが存在するかを特定することです。この分析により、プロジェクトの部品表(BoM)が作成されます。部品表で武装すると、そのBoMの各要素内の潜在的なセキュリティ問題を特定することが可能になります。

ブラックダックの 多因子オープンソース検出  400万を超えるコンポーネントのKnowledgeBase ™は、あらゆるアプリケーションまたはコンテナの正確な部品表(BoM)を提供します。

Negative Testing.png

防御-ネットワークとアプリケーションプロトコルのファジング

Fuzzingは意図的に不正な入力を送信し、テスト対象のソフトウェアが不安定になったり脆弱性を露呈したりすることなく、その不正な入力を適切な方法で処理したかどうかを識別します。

 

Defensicsは、組織が効率的かつ効果的に発見して修正できるようにする、包括的で用途の広い自動化されたブラックボックスファザーです。  セキュリティの弱点 ソフトウェアで。

Defensicsはブラックボックスファザーです-実行するのにソースコードは必要ありません。  

Defensicsは、ネットワークプロトコルやファイル形式などの構造化された入力に特に適しています。すべてのファジングは、テストケースを作成し、テストケースを実行して、発生した障害(ある場合)を特定するという概念的なシーケンスに従います。

Bug Finding.png
Defensics.jpg
SDLC.jpg

SEEKER-インタラクティブなアプリケーションのセキュリティテスト

Webスキャナー-動的アプリケーションのセキュリティテスト 

コードサイト-SASTおよびSCA用のIDEプラグイン

Seekerは、Webベースのアプリケーション向けのアクティブな検証と機密データの追跡を備えた業界初のIASTソリューションです。

Seekerは、簡単に展開および拡張できます。  CI / CD 開発ワークフロー。ネイティブ統合、Web API、およびプラグインは、オンプレミス、クラウドベース、マイクロサービスベース、およびコンテナーベースの開発に使用するツールとのシームレスな統合を提供します。広範な構成、カスタムサービス、または調整を行わなくても、箱から出して正確な結果を得ることができます。

Seekerは、通常のテスト中にバックグラウンドでWebアプリの相互作用を監視し、数十万のHTTP(S)リクエストをすばやく処理できるため、誤検知がほぼゼロの結果が数秒で得られます。手動のセキュリティスキャンを実行する必要はありません。

Seekerは、開発者が重大なセキュリティ上の欠陥を早期に修正できるようにすることで、貴重な時間、リソース、およびコストを節約します。  SDLC 。 Forrester Researchが示しているように、アプリを本番環境に移行する前に保護することでリスクを軽減できるだけでなく、侵入テストの要件を大幅に削減することもできます。

動的アプリケーションセキュリティテスト(DAST)は、AppSecツールボックスに不可欠なツールです。 Synopsys WebScanner™を使用すると、開発者とセキュリティチームは、既知のゼロデイ脆弱性についてWebアプリケーションを簡単にテストできます。

Synopsys Web Scannerは、悪意のあるハッカーと同じ手法を使用して、ヘッドレスブラウザーを介してWebアプリケーションのすべてのアクセスポイントを体系的にテストし、新しく作成されたフォームにデータが入力されている場合でも、JavaScriptおよびAJAXリクエストをインターセプトして分析します。それはチェックします OWASPトップ10  Webアプリケーションのセキュリティリスク、およびその他の既知のセキュリティの弱点と脆弱性。検出された問題を排除する方法を段階的に説明します。

Synopsys Web Scannerは常に更新されているため、最新の脅威から保護されているので安心できます。私たちは定期的に新しいテストを取り入れており、Synopsys Web Scannerは、オープンソースベンチマークで他のどのスキャナーよりも一貫して高いスコアを獲得しています。

CodeSight™は、コーディング時にセキュリティ上の欠陥にリアルタイムで対処するのに役立つIDEプラグインです。

高速かつ正確に 静的アプリケーションのセキュリティテスト (SAST)と ソフトウェア構成分析 (SCA)デスクトップで実行すると、コミットする前に、ソースコード、オープンソースの依存関係、API呼び出し、およびInfrastructure-as-Code(IaC)の脆弱性をすばやく見つけて修正できます。

Code Sightは、アプリケーションコードとInfrastructure-as-Codeファイルを開いて編集し、保存するときに、それらのセキュリティ上の欠陥をすばやく正確に検出するため、チェックインする前に集中してセキュリティのバグを修正できます。

Code Sightを使用すると、直接および両方のセキュリティリスクを完全に把握できます。  オープンソース 依存関係があるため、使用する最も安全なコンポーネントとバージョンを選択して、互換性のないライセンスを回避できます。

問題が見つかった場合、Code Sightは、必要なコードの変更またはコンポーネントのアップグレードを正確に示し、多くの場合、ワンクリックで自動的に修正を行うことができます。

bottom of page