Post on 07-Mar-2020
ソフトウェア・セキュリティ・ ポートフォリオ セキュアで高品質なソフトウェアの開発期間を短縮
多様なツールとサービスを全方位で展開シノプシスは、開発チームが最小のリスクでスピードと生産性を最大化しつつ、セキュアで高品質なソフトウェアを構築できるよう支援しています。アプリケーション・セキュリティのリーダーとして定評のあるシノプシスは、プロプライエタリ・コード、オープンソース・コンポーネント、およびアプリケーションの動作に潜む脆弱性や不具合を短時間で発見して修正できる静的解析、ソフトウェア・コンポジション解析、動的解析ソリューションを提供しています。DevSecOpsおよびソフトウェア開発ライフサイクル(SDLC)全体でセキュリティと品質を最適化できる業界最先端のツールとサービス、そしてエキスパートの知見をワンストップで提供できるのが、シノプシスならではの強みです。
統合ツール最近のアプリケーションはプロプライエタリ・コードとオープンソース・コンポーネント由来のコードを組み合わせて構築されており、これら
コードのテストに加え、実行環境における動作と設定のテストも必要となっています。シノプシスは、これら 3つに対していずれも業界最先端のツールを提供しています。
• Coverity(静的解析):包括的な静的解析ソリューションにより、SDLCの早期に重大な品質上の不具合およびセキュリティ脆弱性を 特定できるため、修正にかかるコストを最小に抑えられます。
• Black Duck(ソフトウェア・コンポジション解析):業界をリードするソフトウェア・コンポジション解析ツールにより、開発および 本番環境におけるオープンソースおよびサードパーティ・コンポーネントのリスクを検出、管理します。
• Seeker(インタラクティブ・アプリケーション・セキュリティ・テスト)/Defensics(ファジング・テスト):革新的な動的解析ツールにより、 動作中のアプリケーションをテストして一般的なセキュリティ上の弱点や脆弱性を特定します。
マネージド・サービスあらゆるアプリケーションに対してセキュリティ、品質、コンプライアンスのテストを任意の深度で迅速に実行し、テスト要件の変化や脅威の進化にいち早く対応していただけるよう、シノプシスはこれらのテスト・ツールを SaaS(Security-as-a-Service)モデルで提供しています。現在提供中の自動テスト・ツールには以下のものがあります。
• DAST(動的アプリケーション・セキュリティ・テスト):動作中のWebアプリケーションに潜むセキュリティ脆弱性をソースコードなしで 特定します。
• ペネトレーション・テスト:サーバ・サイドのアプリケーションおよび APIに潜む脆弱性を取り除きます。
• MAST(モバイル・アプリケーション・セキュリティ・テスト):伝統的な静的テストと動的テストの手法を組み合わせ、脆弱性および 悪質な(または潜在的リスクのある)動作を洗い出します。
• SAST(静的アプリケーション・セキュリティ・テスト):ソースコードをスキャンし、セキュリティ脆弱性を体系的に見つけ出して取り除きます。
プロフェッショナル・サービス品質とセキュリティに関するベスト・プラクティス、ツール、戦略を個々の企業のテクノロジ・スタックに最適な形で統合していただけるよう、一流のエキスパートが数百名体制でサポートします。
• アーキテクチャと設計 /脅威モデリング:セキュリティ・コントロールの不備・弱点の洗い出し、設計に関するベスト・プラクティスの理解、 セキュリティおよび品質不具合の軽減を支援します。
• DevSecOpsへの統合:最適なツールとプロセスを用いて、セキュリティおよび品質の分析を開発ワークフローの最適なポイントに最適な レベルで統合します。
• クラウド・セキュリティ:クラウドにデプロイされるアプリケーションに対して、持続可能なソフトウェア・インテグリティ・イニシアティブを 作成します。
ソフトウェアのセキュリティと品質
シノプシスのポートフォリオ
Coverity静的解析
Black Duck ソフトウェア・
コンポジション解析
Seeker/Defensics動的解析
アーキテクチャと設計
セキュリティ・トレーニング
DevSecOpsへの統合
クラウド・セキュリティ
業界別ソリューション
統合ツール
マネージド・サービス
プロフェッショナル・サービス
戦略とプランニング マチュリティ・アクション・プラン(MAP)セキュア開発成熟度モデル(BSIMM)
= Polarisソフトウェア・インテグリティ・プラットフォームで提供
静的アプリケーション・セキュリティ・テスト
ペネトレーション・テスト
モバイル・アプリケーション・セキュリティ・テスト
動的アプリケーション・セキュリティ・テスト
戦略とプランニングこれまで数百社との作業で培った経験をもとに、シノプシスのエキスパートがソフトウェア・セキュリティ対策(SSI)の強力な基盤づくり、チームの垣根を越えたセキュリティおよび品質に関する要求事項の共有、および重要な結果の測定を支援します。
• セキュア開発成熟度モデル(BSIMM):企業のソフトウェア・セキュリティ対策の現状を評価し、その効果を測定します。
• マチュリティ・アクション・プラン(MAP):ソフトウェア・セキュリティ・プログラムの作成と成熟度向上に向けた明確な指針をご提案します。
セキュリティ・トレーニングシノプシスはソフトウェア開発組織のあらゆる役職に向けたトレーニングの実施を通
じ、セキュアで高品質なソフトウェアの開発と維持に必要なスキルの開発を支援しています。トレーニング方法は各種ご用意しており、学習目標やスケジュールに応じて最適なアプローチをお選びいただけます。
• インストラクターによるトレーニング:技術内容に踏み込んだハンズオン形式のトレーニングをオンサイトにて実施します。
• eラーニング:アプリケーション・セキュリティに関する豊富なオンライン・トレーニング・クラスをオンデマンドで実施します。実際の経験に基づく内容を、セキュリティ実務のプロフェッショナルが解説します。
• IDEベースのトレーニング:コーディング中にセキュア・コーディングのベスト・プラクティスを学べる理想的な学習方法です。
民間銀行上位 25行のうち
17行
ソフトウェア企業上位 10社のうち 9社
米国の無線通信プロバイダ上位 4社のうち 3社 マネージド・
ヘルスケア企業上位 5社のうち 4社
150億ドル企業のシノプシスはこれまで、究極のソフトウェア・セキュリティ・ソリューションの構築に10億ドル以上を投資してきました。これらのソリューションは現在、以下の企業で採用されています。
シノプシスのミッション: セキュアで高品質なソフトウェアの開発期間短縮を持続していただくこと
シノプシスが支援する 9つの普遍的な目標
1. リスクの軽減と管理
2. セキュリティ・プログラムおよびテスト実施の迅速化
3. コンプライアンスの管理
4. 社内の業務効率の改善
5. 開発期間の短縮
6. コストの最小化
7. ビジネス・プロセスの アジリティと業績の向上
8. 顧客関係とサービスの向上
9. 革新の推進
Polarisソフトウェア・インテグリティ・プラットフォームPolarisソフトウェア・インテグリティ・プラットフォームは、シノプシスの強力なソフトウェア・インテグリティ製品およびサービス群を 1つのソ
リューションに統合したものです。他のプラットフォームとは異なり、Polarisではセキュリティ /開発チームが開発環境とビルド /テスト環境の両方で同じセキュリティ解析エンジンを使用できるため、開発プロセス全体で一貫した結果が得られます。このため、脆弱性を SDLCの早期に修正でき、下流工程での遅延とコストが最小に抑えられます。
• 開発者が既に使用しているツールを使って静的解析、動的解析、ソフトウェア・コンポジション解析を自動化。
• Polaris Code Sight™ IDEプラグインにより、アプリケーション・セキュリティ解析の機能を IntelliJ、Eclipse、Visual Studio IDEに統合。
• Coverityや Black Duckなど各種エンジンによる解析結果を一望できる統合レポートおよびダッシュボード。
• Jenkins、Travis、Kubernetes、Red Hat OpenShiftやその他の DevOpsオーケストレーション・ツールでセキュリティ・テストと ポリシー適用を自動化。
開発環境
Code Sight
IDEプラグインIntelliJ、Eclipse、Visual Studio
ローカル解析と中央での解析を統合
コンテキストに応じたeラーニング
CoveritySAST
Black Duck SCA
SeekerIAST
マネージド・サービス
ビルド/テスト環境
Central Server
統合解析エンジン
統合レポート アラートとワークフロー中央での管理
CI/CD、DevOpsとの統合
SaaS/プライベート・クラウドでの運用
CoveritySAST
Black DuckSCA
SeekerIAST
マネージド・サービス
©2019 Synopsys, Inc. All rights reserved. Synopsysは Synopsys, Inc.の米国およびその他の国における登録商標です。 Synopsysの商標に関しては、こちらをご覧ください。http://www.synopsys.com/copyright.htmlその他の会社名および商品名は各社の商標または登録商標です。03/08/19.SIG_ProductOverview_A4print.
シノプシスの特色シノプシスのソフトウェア インテグリティ グループは、企業が安全で高品質のソフトウェアを構築し、リスクを最小限に抑えながらスピードと生産性の最大化に貢献します。シノプシスは、アプリケーション・セキュリティのリーダーであり、静的解析、ソフトウェア・コンポジション解析、動的解析ソリューションを提供しており、独自のコード、オープンソース・コンポーネント、およびアプリケーションの動作における脆弱性や欠陥を迅速に見つけて修正します。業界をリードするツール、サービス、専門知識を組み合わせることで、シノプシスは DevSecOpsにおけるセキュリティと品質を最大化し、ソフトウェア開発のライフサイクル全体にわたって組織を支援します。
詳しくは、www.synopsys.com/jp/software をご覧ください。
日本シノプシス合同会社 ソフトウェア インテグリティ グループ〒158-0094 東京都世田谷区玉川 2-21-1 二子玉川ライズオフィス
TEL: 03-6746-3600Email: sig-japan@synopsys.comwww.synopsys.com/jp/software