草榴社区

本日、。同社はソフトウェア脆弱性の発见/相関付け/修正の自动化?高速化を可能にするアプリケーション?セキュリティ?リスク?管理ソリューションを提供しています。同社の买収により、シノプシスのアプリケーション?セキュリティのビジョンを推进する重要な机能が加わるとともに、お客様はソフトウェアのセキュリティに関连する组织的なリスクの実态を把握することができるようになりました。

また、シノプシス製ツール、サードパーティー製ツール、オープンソース?ツールでセキュリティ?テストのオーケストレーションをインテリジェントに行う機能を利用できるようになりました。75社を超すテスト?ソリューションを手動テスト?アクティビティの結果を相関付け、優先順位付けをすることもできます。Code Dxでは、すべての対象アクティビティの統合ビューと組織のリスクに関する知見を得ることができます。

これらの机能は、シノプシスだけでなく、アプリケーション?セキュリティ（础辫辫厂别肠）业界にとって、そして何よりもお客様にとって革新的なものであると自负しています。

草榴社区 Code Dxの概要

Code Dxは、GartnerによるApplication Security Orchestration and Correlation（ASOC）というカテゴリに分類されます。

市場に出ているASOCツールを調査した結果、Code Dxには以下の特徴があるという結論に達しました。

• 柔软性なアーキテクチャ
• 优れた相関技术
• 広范な统合

大局的な観点から見ると、Code Dxはソフトウェア?リスクを総合的に管理できる独自設計を採用しています。

Code Dxはシノプシスの技术提携パートナーとして既にシノプシスの製品群に統合されているため、お客様はCode Dxのメリットをすぐに実感できます。さらに、Code Dxと最近発表されたシノプシスのIntelligent Orchestrationソリューションを組み合わせることで、比類のない包括的なオーケストレーション?相関機能を実現します。Code Dxと同様に、Intelligent Orchestrationもサードパーティー製ツールやオープンソース?ツールと連携して機能します。これにより、アプリケーション?セキュリティ?テスト（AST）をDevOpsワークフローに効率的かつ実用的に统合する优れたソリューション?セットが実现し、あらゆる础厂罢ツールの投资効果を高めることができます。

Code Dxは、以下をはじめとするロバスト性の高い機能を備えています。

• 静的解析（SAST）、动的解析（DAST）、インタラクティブ解析（IAST）、ソフトウェア?コンポジション解析（SCA）など、あらゆる形態のASTからの出力を関連付けることが可能。Code Dxでは、脅威モデリングなどの手動テストの結果を関連付けることもできます。複数のテスト?ツールを使用することで、様々なテスト結果を関連付けて結果への対処を効率化し、リスクを詳細に可視化することができます。
• 様々なプロバイダーと连携して开発された75を超す统合ツールを利用可能。Code Dxは、従来のSAST/DAST/IAST/SCAツールとの統合に加えて、クラウド/コンテナ分析ツール、ネットワーク?スキャン?ツール、モバイル?セキュリティ?ツール、課題管理システムとも統合されています。
• 闯颈谤补などのチケット?システムとの紧密な统合。これにより、チケットの重复をなくし、説明责任の确保に必要な统合データを提供して、开発チームへの作业分担を効率的に行います。
• ポリシー、アプリケーションに関するメタデータ、胁威インテリジェンスに基づいて结果に优先顺位を付け、统合された机械学习技术を适用する。最终的な目的は、修正内容と优先顺位に関するガイダンスを示し、リスクの軽减と开発効率の向上に役立てることです。
• 统合テスト?データを使用して、アプリケーション?ポートフォリオ全体のリスクを把握するための情报が得られる。これにより、テスト结果からビジネス?リスクへと础厂罢/础辫辫厂别肠に関する话し合いを进めることができます。

総括：シノプシスのお客様にとっての意义

お客様にとって、市場投入までの期間の短縮は重要課題です。市場投入に時間がかかったり、開発プロセスに摩擦が生じると、ビジネス上の脅威となります。その認識から、シノプシスは、お客様がソフトウェア?リスクに効率的かつ総合的に対処できるようお手伝いをすることに力を注いでいます。当社の製品群にCode Dxが加わったことで、その実現が可能になりました。

最近の环境には、次の3つの要件があります。

1. 最大のアタックサーフェスであるソフトウェアをテストする必要がある。ソフトウェア?セキュリティの全体像を把握するには、様々な种类のテストを実行する必要がありますが、それによって膨大な结果が生成されます。
2. 摩擦のないセキュリティを実现することで、ビジネスのスピードに合わせて开発ペースを速める必要がある。アプリケーションのテストで开発ワークフローを停滞させ、効率を阻害することは许されません。
3. 开発効率の低下を防ぐため、修正対象として膨大な结果をダンプしないようにする必要がある。テスト结果の関连付けと优先顺位付けを行い、开発チームが最大のリスクに対処するための作业を効率化する必要があります。

この3つの要件をすべて満たすには、适切なタイミングとレベルで适切なテストを実行し、结果を修正するために効果的な関连付けと优先顺位付けを行う必要があります。シノプシスがこれらの要件のすべてを満たす机能をお客様に提供できるようになったことで、础厂罢は生产性の阻害要因ではなく、生产性向上を実现する手段となります。シノプシスは、开発の生产性を向上させ、顿别惫翱辫蝉チームが事业の推进と组织のリスク低减を両立させるために必要な効率性の実现を支援します。

その一環として、第3世代のアプリケーション?セキュリティ（AppSec）を構築しています。開発ワークフローを停滞させるサイロ化されたソリューションはもはや過去のものとなりました。開発チームの修正作業には無関係な結果が生成されることが多く、その結果摩擦が増加して、かえって生産性が阻害される「Good Enough（十分に良い）」テストの時代も過ぎ去りました。次世代のAppSecでは、DevOpsワークフローの主要なイベントのニーズに合わせて、「Just Enough（過不足のない）」テスト手法が求められます。

シノプシスのポートフォリオにCode Dxが加わったことに私たちスタッフが興奮している理由がこれでおわかりでしょう。Intelligent Orchestrationなどの包括的なASTソリューションにCode Dxが加わったことで、進化を続けるAppSecとアプリケーション?セキュリティ?テストに取り組むお客様の要件に従来以上に的確に対応できるようになりました。