セキュリティリスク低減を高速化DevOps, Agile の速さでリスク低減を実現
2024/07/09 | 人とくるまのテクノロジー展 2024 NAGOYA(2024/7/17~7/19開催)に出展します。 |
2024/02/05 | Software Risk Manager (SRM) の新しいデモ動画をアップロードしました。動画はこちら |
2022/10/06 | ウェビナー「DevSecOps環境を語る – Code DxによるAppSecデータの可視化・プロセスの高速化!」を実施しました。 動画はこちら |
2022/02/15 | Code Dxのデモ動画をアップロードしました。動画はこちら |
SRMのデモ動画は下記よりご覧になれます
自動化がお客様のセキュリティプログラムにもたらす効果をご紹介します。
以下の主要機能:リスク可視化とリスク低減をスピーディーに実現します
SRMはアプリケーションのセキュリティの相関・管理システムです。複数のAppSecツールによる指摘事項(ときには手法の異なる)を一つの集約された結果セットにまとめる作業を自動化します。従来、この作業は時間とコストを大量に要する労働集約的な作業であり、脆弱性の発見(テスト)及び対策サイクルのネックでした。SRM により大幅な省力化と時間短縮が可能になります。
例えば、静的解析と動的解析、商用ツールとオープンソースのツールのように、目的や実装が異なるツールの結果を関連付けし、一つの統合された結果セットに集約します。また、お客様が使用しているソフトウエア開発ツールや課題管理ツールとの統合も可能です。
(75種以上の脆弱性解析ツールをサポートしています)
お客様は、同程度のセキュリティレベル確保をより少ないリソースで実現するか、あるいは、より高度のセキュリティレベル確保を現状のリソースで実現できるようになります。
一元管理下の脆弱性リスクに対し、多様なフィルタリング機能により重要度の高いリスクの特定(トリアージ)を迅速に行い、対策対象とすべきリスクの絞り込みが可能。ここでも大幅な工数や作業時間の短縮が可能です。
フィルタリング機能は、単に重要度だけでなく、検出したツール種別、標準に基づく脆弱性の分類、脆弱性のあるソースの位置・範囲、同じ脆弱性を何種類のツールが同時に検出したか、等、セキュリティ担当者の判断を支援するための機能です。
また、優先順位付けの結果は、ダッシュボードでも参照可能で、プロジェクト関係者が容易にリスクの状況を俯瞰することができます。脆弱性のみならず、開発ルール遵守に関する重要問題の早期発見にも寄与します。
一元化されたリスク要因の対策に当たり、JIRA等の課題管理システムと双方向に連携させることにより、開発者とセキュリティ担当者間で齟齬のないスムーズなリスク対策の追跡を可能とします。
DevSecOpsのスピードにキャッチアップ
CERT C Secure Coding Standards CERT C++Secure Coding Standards CERT Java Secure Coding Standards CISQ Quality Measures CLASP CWE All CWE Development Concepts View CWE Research Concepts View CWE Top 25 Most Dangerous Software Errors(2019) |
DISA STIG 3.10 DISA STIG 4.10 HIPAA Hardware Design MISRA C(2012) MISRA C++(2008) : etc. |
SRMは、AppSecプログラムの実用的なプラットフォームであり、管理者は不完全なアプリケーションをリリースするリスクを常に確認する事ができます。
1つの検証ツールだけでは全ての脆弱性を見つけることは困難です。
複数ツールの結果から分析されたSRMの脆弱性レポートは、セキュリティの専門家の活動を強力に助けます。更には、CI/CDパイプライン内への組み込みも容易で、DevSecOps環境を実現できる為、開発エンジニアは手戻りのないAppSec対策を進める事が可能です。
ソフトウェアテストコンサルティング会社
価格に加えて、重要視する項目は使い易さです。ツールの使用方法を学習する際の、従業員の学習曲線がどのようになるでしょうか。SRMは、使い方が簡単・明確で、コードをアップロードするだけで、簡単にスキャンできます。インストールが最も簡単なツールの1つでもあります。公共部門の組織
明らかに、SRMは複数の製品からの結果を相関させることにより、全体的な時間の短縮を実現します。公共部門の組織
SRMのセットアップは非常に簡単で、実際のユーザーにとって管理上の負担はほとんどありません。公共部門の組織
SRMは、開発者間の標準化を実現し、多層ソフトウェア保証戦略の一翼を担うツールであることを示しました。SRMは、現実的な費用で組織内の全ての開発者に提供可能であり、ソフトウェア保証の武器の中で貴重なツールになる可能性があると考えています。公共部門の組織
エンタープライズレベルの素晴らしい点は、カバレッジを比較でき、どのツールがどの問題を検出しているかが分かることです。さらに付加価値の一つは、少なくとも5つの異なるオープンソースツールが同梱されており、それらツールを個別にインストールし保守する必要がありません。アプリケーションの脆弱性評価会社
SRMホームページの更新内容に対する周りの声:「そうだよ!!皆さんが行ったアプリケーション更新が本当に気に入っています。私たちは本当に感謝しています。なぜなら、新しい機能の追加だけでなく以前私達が提案したことも実現されているのですから。」アカデミックユーザー
SRMには、ツール出力分析に使う独特で便利なビューがあります。使用すべきツール、コードベースの場所、CWEの結果、重要度、重複する場所の数、すべての弱点の状態などを選んで分析可能です。Flow Vizは、脆弱性の発生源、脆弱性を検出できたツール、および脆弱性の重要度の有用なビューを示しています。アカデミックユーザー
レポートの進捗を文書化する良い方法を提供します。MortgageFlex Systems Inc.
当社の製品の1つに対して [ Stat! ] を実行したところ、私(CIO)はもちろん、CEOやCOOも、本アプリケーションに非常に感銘を受けました。