本文の内容は、2023年8月8日にERIC CARTER が投稿したブログ(https://sysdig.jp/blog/prioritize-vulnerabilities-faster-with-checkmarx-and-sysdig)を元に日本語に翻訳・再構成した内容となっております。
クラウドでアプリケーションを最新化している組織は、脆弱性に溺れていることに気づきます。アラートが多すぎて、すべてに対処する時間がないのです。SysdigとCheckmarxは本日、この問題の解決に焦点を当てたパートナーシップを発表しました。SysdigのCloud-Native Application Protection Platform (CNAPP)のランタイムインサイトをCheckmarx One AppSecプラットフォームに導入することで、アプリケーション・セキュリティ・チームは、脆弱性のノイズを最大95%削減し、開発者が最初に対処すべき問題に迅速にたどり着けるよう支援する新しいツールを手に入れることができます。
シフト・レフトセキュリティが抱える問題:ノイズ
セキュリティのシフトレフトは、企業がごく初期の開発段階でリスクを確実に減らすための鍵です。開発の初期段階でセキュリティの脆弱性を発見することは、決して問題ではありません。しかし、どのセキュリティ問題がノイズで、どれが本当のリスクなのかを判断することが本当の課題です。開発者は、山のような問題を整理して、最初に何を修正すべきかを判断する助けが必要です。
ランタイム・インサイトが脆弱性のノイズを最大95%削減
ランタイムにおけるSysdigのユニークなポジションは、実行中のコンテナイメージをプロファイリングし、脆弱性を持つ使用中のパッケージを特定する能力を提供します。この情報を脆弱性管理ツールにフィードバックすることで、ランタイムインサイトは、アプリケーションで実際に使用されていない脆弱性のあるパッケージをフィルタリングするのに役立ちます。これにより、開発者とセキュリティ・チームは本当に重要なことに集中し、開発とデリバリーを迅速なペースで行う事が可能となります。
Sysdig は、一連の API を通じて、使用中のパッケージ情報を外部ツールで利用できるようにします。これは、私たちがCheckmarx社と共に行っている作業です。
Checkmarx OneでのSysdigランタイムインサイトを利用する
Checkmarx Oneプラットフォームの一部であるCheckmarx Software Composition Analysis (SCA)は、チームがコード内の脆弱なオープンソースパッケージを発見し、修正ガイダンスを得ることで、オープンソースリスクを迅速に低減するのに役立ちます。Sysdigのランタイムインサイトは、脆弱性の優先順位付けとフィルタリングに新たな次元を追加し、開発者が使用中のパッケージに最初に集中できるようにします。
脆弱性疲労の軽減
Sysdig Secureを搭載したCheckmarx SCAは、ソフトウェアのライフサイクルにインテグレーションされた、正確で適切かつ実用的な洞察による効果的な開発者フィードバックループを提供します。CheckmarxとSysdigは、実行時に暴露される脆弱性に焦点を当てることで、ユーザが実際に呼び出される脆弱なコンポーネントとそうでないコンポーネントを明確に把握できるようにします。これにより、実際にリスクに対処するために何を修正する必要があるかという点で、開発者の負担が大幅に軽減されます。
フォーカスした修復=迅速なデリバリー
セキュリティ脅威をより早く、より効率的に検出し、対処することは、開発者の生産性に直接影響します。アプリケーションの開発とデプロイに集中し、不要な脆弱性の修復にはあまり集中しないようにできるチームは、迅速なソフトウエアデリバリーに対応できるようになります。これは、市場投入までの時間(TTM)が大幅に短縮されることを意味します。
シフトレフトし、シールドライトする完全なクラウドネイティブ・セキュリティ・ソリューション
私たちは、CheckmarxとSysdigの新しいパートナーシップに興奮しています。私たちは、ソースから実行に至るまで、脆弱性や脅威を効果的に特定し、対応するために組織が必要とするクラウドおよびクラウドネイティブのセキュリティソリューションを提供します。
Black Hat USA 2023に参加される方は、このページをご覧ください。Sysdigのブース#1350とCheckmarxのブース#2540にぜひお立ち寄りください。また、8月10日11:00からSysdigブースで行われる共同プレゼンテーションにもご参加いただけます。
その他のリソース: