本文の内容は、2024年3月22日に VICTOR HERNANDO が投稿したブログ(https://sysdig.com/blog/prioritize-vulnerabilities-with-checkmarx-and-sysdig-runtime-insights)を元に日本語に翻訳・再構成した内容となっております。
2023年8月、CheckmarxとSysdigは新たなパートナーシップを発表しました。この提携により、CheckmarxとSysdigのお客様は、Sysdig Runtime Insightsが提供する包括的な可視性を活用し、Checkmarx One AppSecプラットフォームの価値をさらに高めることができます。
今日、セキュリティツールにランタイムインテリジェンスを統合しようとする企業が増えています。この革新的なアプローチは、ノイズの削減など数多くの利点をもたらし、開発者とセキュリティチームに、最も重要な問題に焦点を当て、最初に対処するために必要なコンテキストを提供します。ランタイムインサイトのような仕組みを用いることにより、ソフトウェアライフサイクルの初期段階における脆弱性の修正と優先順位付けが大幅に容易になりました。
Checkmarx と Sysdig は、この移行を促進するために協力しています。 Checkmarx の One AppSec プラットフォームには、Sysdig の Cloud-Native Application Platform (CNAPP) の ランタイムインサイトが組み込まれており、アプリケーションセキュリティチームがクラウドのスピードで効率的にセキュリティ問題に優先順位を付けて解決できるようになりました。
Sysdig ランタイムインサイト で Checkmarx を使用するメリット
Sysdig Risk Spotlightを使用すると、開発者は実行時の洞察コンテキストを提供することで、差し迫ったリスクを引き起こす脆弱性に対処できます。
ここで、Sysdig Risk Spotlight をパートナーである Checkmarx に統合することの利点をいくつか見てみましょう。
ノイズを最小限に抑える
脆弱性がアプリケーションに与える影響に関するSysdigならではの視点から、CheckmarxとSysdigのお客様は、最も差し迫ったセキュリティリスクを特定することができます。ランタイムインテリジェンスをCheckmarxのソフトウェアコンポジション解析(SCA)ツールに統合することで、開発者は使用中の最も重要な脆弱性への対処を優先することができるようになりました。これは、ノイズを最大95%まで大幅に削減することで効果的に達成されます。
脆弱性疲労を軽減する
開発者は、日々遭遇する脆弱性の量に圧倒され、セキュリティ問題の洪水に見舞われることがよくあります。Checkmarx SCAとSysdigのパートナーシップにより、開発者による効果的なフィードバックループが形成され、ソフトウェアライフサイクルにシームレスに統合された、正確で有意義かつ実用的な洞察が得られます。この連携により、Checkmarxのユーザはランタイムデータにアクセスできるようになり、より多くの情報に基づいた意思決定が可能となり、負担が軽減され、ソフトウェア開発全体のエクスペリエンスが向上します。
ソフトウェアデリバリーを加速させる
ランタイムインサイトを活用することで、開発者は最もクリティカルな脆弱性に優先順位をつけて即座に解決する一方、ランタイムであまり攻撃されないその他の脆弱性は延期することができます。この新しいアプローチは、ソフトウェア開発とデリバリプロセスを合理化し、開発からデプロイまでの反復サイクルを短縮します。より迅速で効率的な開発、対処、デリバリーを実現します。
ランタイムインサイトの統合を段階的に有効にする方法
前提条件
まず、わかりやすくするために、要点を整理しましょう。ここでは、あなたが両方のセキュリティ・ツールに精通していることを前提としています: SysdigとCheckmarxです。さらに、両方のプラットフォームで少なくとも1つのアクティブなユーザーアカウントを持っていることが必要です。これは、統合を有効にし、Checkmarx内のランタイムインサイトにアクセスするために、Sysdig Risk Spotlight APIトークンを取得する必要があるためです。
Sysdig ランタイムインサイトを Checkmarx SCA ワークフローと統合する一環として、イメージスキャンタスクを開始する必要があります。 Checkmarx は、 Checkmarx One CLIおよびCheckmarx SCA リゾルバーツールを利用して、単一のコマンドラインでこのプロセスを合理化できるように設計しました。さらに、このワークフローではイメージスキャンにおけるオープンソースのSyftも使用されます。
では、環境をセットアップしましょう:
1.Checkmarx One CLI をダウンロードして構成し、プロンプトが表示されたら Checkmarx AST API トークンを確実に挿入します。残りのフィールドは空白のままにしておきます。
$ wget https://github.com/Checkmarx/ast-cli/releases/download/2.0.62/ast-cli_2.0.62_linux_x64.tar.gz $ tar zxvf ast-cli_2.0.62_linux_x64.tar.gz $ cx configure Creating directory Setup guide: https://checkmarx.com/resource/documents/en/34965-68621-checkmarx-one-cli-quick-start-guide.html AST Base URI []: AST Base Auth URI (IAM) []: AST Tenant []: Do you want to use API Key authentication? (Y/N): Y AST API Key []: <PASTE_YOUR_API_KEY_HERE>
Code language: JavaScript (javascript)
2.Checkmarx SCA リゾルバー ツールをダウンロードします。
$ wget https://sca-downloads.s3.amazonaws.com/cli/latest/ScaResolver-linux64.tar.gz
$ tar zxvf ScaResolver-linux64.tar.gz
Code language: JavaScript (javascript)
3.Syftをダウンロードしてインストールします。
$ curl -sSfL https://raw.githubusercontent.com/anchore/syft/main/install.sh | sh -s -- -b /usr/local/bin
Code language: JavaScript (javascript)
Checkmarx + Sysdig の統合を有効にする
2024 年 3 月の時点で、Sysdig 統合を有効にしたい Checkmarx ユーザーは、プロセスのサポートについて Checkmarx の担当者に問い合わせる必要があります。
Checkmarx スキャナーを実行する方法
1.新しい Checkmarx プロジェクトを作成します。
$ cx project create --project-name java-demo-app
Project ID Name Created at Tags Groups
---------- ---- ---------- ---- ------
cdbabb8f-b984-4984-a47e-e625f39d2828 java-demo-app 11-28-23 [] []
2.新しいイメージスキャンタスクを実行します。
$ cx scan create --project-name java-demo-app -s '/home/victor/cicd-secure-scan/myapp' --branch stam-branch --scan-types sca --debug --async --sca-resolver './ScaResolver' --sca-resolver-params "--log-level Debug --scan-containers true --images quay.io/vhernandomartin/myimage:latest --containers-result-path /home/victor/cicd-secure-scan/myapp/.cxsca-container-results.json"
Code language: JavaScript (javascript)
3.Checkmarx UI で新しいスキャンタスクを確認します。
まとめ
この新しいパートナーシップは、有益なランタイムインサイトを用いてシフトレフトセキュリティを強化することで、CheckmarxとSysdigのお客様の業務を強化します。CheckmarxとSysdigは、セキュリティの脅威を検出し、対応するためのユニークなアプローチを提供しています。
もっと詳しく知りたいですか?詳細については、Sysdig エコシステム ポータルのCheckmarx サイトにアクセスするか、今後のウェビナーに登録してください。