検索

ソフトウェア構成分析

開発者向けの統合機能とコンテキストを考慮した優先順位付けによって、オープン ソースの脆弱性とライセンスのコンプライアンス問題に未然に対処します。
無料トライアルの申し込み
Host Security Hero Front Image
Host Security Hero Back Image

脆弱性が至る所に広がり、捉えにくくなる中、より迅速、容易かつシームレスにオープン ソースのリスクに対処する方法が求められています。クラウドネイティブ インフラストラクチャとアプリケーション レイヤーの境界が曖昧になっている今、DevOpsツールに組み込んで、ソースでコードのセキュリティを確保する好機です。オープン ソースのセキュリティとコンプライアンスに対して一貫したアプローチを取ることにより、誤検知を最小限に抑え、分析結果を優先順位付けし、より迅速にコードのセキュリティを確保できます。

オープン ソース コードの脆弱性に関するUnit 42のリサーチ レポートをご覧ください。

レポートをダウンロード
1

クラウドネイティブ アプリケーションはオープン ソースに依存

オープンソース ソフトウェア(OSS)は、クラウドネイティブ アプリケーションの大きな部分を占めています。そのおかげで、開発者は同じものを一から作り直すことなく、いち早くスタートを切ることができます。そうした利点の一方で、サードパーティのオープン ソース ソフトウェアにはセキュリティとコンプライアンス上のリスクがあり、クラウドネイティブ セキュリティ プログラムの一環として対処する必要があります。
2

依存関係の無秩序な広がりがリスクを生む

オープン ソース ソフトウェアは、パッケージの依存関係が幾重にも重なっており、アプリケーション スタック全体のどこに、どのような形でOSSが使用されているのかを把握することは困難です。その上、脆弱性は推移的パッケージに潜んでいることもよくあります。それらの脆弱性やライセンスを把握するには、連続的かつ統合的なアプローチが必要です。
3

サイロ化したセキュリティ ツールがカバー範囲のギャップを生む

アプリケーションのインフラストラクチャの完全なコンテキストがなければ、アプリケーション内で検出された脆弱性が実際に露出しているのか、低リスクなのかを判断するのは困難です。アプリケーション セキュリティとインフラストラクチャ セキュリティの分析結果を関連付けることにより、コードベース全体のコンテキストで脆弱性が浮かび上がり、より的確な優先順位付けと迅速な修復が可能になります。

Prisma Cloudなら、開発スピードを落とすことなくオープン ソースのリスクを容易に排除できます。

Prisma Cloudは、DevOpsツールに統合することで、コーディングからビルド、デプロイ、実行時まで、オープン ソース パッケージの脆弱性とライセンス コンプライアンスの問題を積極的にスキャンします。インフラストラクチャおよびアプリケーションのコードレベルの弱点、依存関係の完全な推定、きめ細かなバージョン バンプの修正を関連付けるPrisma Cloudのデータ モデルは、他のSCAソリューションとは一線を画しています。
  • 接続されたインフラストラクチャとアプリのリスクに対する単一のビュー
  • 開発者ツールやワークフローに統合
  • パッケージとコンテナ イメージのフル ライフサイクル セキュリティ
  • 信頼できるソースが基盤
    信頼できるソースが基盤
  • 開発者に優しい統合
    開発者に優しい統合
  • 無制限の依存関係ツリー スキャン
    無制限の依存関係ツリー スキャン
  • バージョン バンプの修正
    バージョン バンプの修正
  • ライセンス分析と監査レポート
    ライセンス分析と監査レポート
  • カスタム適用ルール
    カスタム適用ルール
PRISMA CLOUDソリューション

コンテキストを考慮した開発者第一のソフトウェア構成分析アプローチ

精度が高くコンテキストを考慮

Prisma Cloudのソフトウェア構成分析(SCA)機能は、最も信頼できる脆弱性データベースをベースに構築され、業界で最も堅牢なインフラストラクチャ ポリシー データベースに接続されており、開発者がリスクを理解し、素早く修正を実施するのに必要なコンテキストとともに脆弱性を明らかにします。Prisma Cloudは、次の大きな脆弱性の迅速な阻止に必要な範囲でオープン ソースをカバーします。

  • 言語およびパッケージ マネージャ全体を卓越した精度でスキャン

    すべての主要言語と30以上のアップストリーム データ ソースをサポートし、誤検知を最小限に抑えながら、オープン ソース パッケージ内の脆弱性を検出します。

  • 業界トップクラスの情報源を活用し、完全オープン ソースのセキュリティに自信を

    Prisma Cloudは所在を問わずオープン ソースの依存関係をスキャンし、NVDなどのパブリック データベースやPrisma Cloud Intelligence Streamと比較して脆弱性を検出し、重要な修正情報を提示します。

  • インフラストラクチャとアプリケーションのリスクを関連付け

    コードベース内の実際に露出している脆弱性を絞り込むことで誤検知を抑制すると同時に、修復の優先順位付けを迅速化します。

  • 依存関係の深さに関係なく脆弱性を検出

    Prisma Cloudは、パッケージ マネージャのデータを取り込んで依存関係ツリーを最深部まで推定することで、ビューからは見えないオープン ソースのリスクを特定します。

  • ソフトウェア サプライ チェーンを可視化してカタログ化

    サプライ チェーン図により、パイプラインとコードの統合インベントリを提供します。これらの接続をすべて可視化するだけでなく、ソフトウェア部品表(SBOM)を生成することもできるため、アプリケーションのリスクと攻撃対象領域を把握しやすくなります。

精度が高くコンテキストを考慮

柔軟な修正を完全に統合

オープン ソース ライブラリの使用方法と使用場所に関するコンテキストを完全に把握しているのは開発者だけです。したがって、脆弱性を修正するには開発者にフィードバックを提供するのが一番です。SCAは、Prisma Cloudのネイティブ開発者ツール統合とCLIツールの拡張性を生かして開発者のワークフローに完全に統合されているため、適切な場所とタイミングで脆弱性が提示されます。

  • 開発者ツールとワークフローにオープン ソース セキュリティを統合

    IDEとVCSのプル/マージ リクエストを通じて脆弱性を開発者にリアルタイムにフィードバックし、新しいパッケージをコードベースに安心して統合できるようにします。

  • ライフサイクルを通じてカスタム ポリシーを作成して適用

    リポジトリ、レジストリ、CI/CDパイプライン、ランタイム環境をスキャンし、ブロックまたは許可するソフトウェアを判定する脆弱性管理を統合します。

  • 互換性を破る変更を回避しながら問題を修正

    重要機能が動作しなくなるリスクを回避しつつ、直接/推移的依存関係に含まれる脆弱性の修正に必要な最低限の更新を提案します。また、パッケージごとにバージョンを細かく選択できる柔軟性を有し、複数の問題を一度に修正できます。

  • ソフトウェア部品表を作成

    Prisma Cloudは、リポジトリ内の依存関係を見つけ、ソフトウェア部品表(SBOM)とインフラストラクチャ部品表(IBOM)を作成し、標準形式でエクスポートします。

柔軟な修正を完全に統合

CNAPPの要素

クラウド ネイティブ アプリケーションの保護に際して完全なカバー範囲を確保する唯一の方法は、開発ライフサイクルの各レイヤー、各ステップで脆弱性をスキャンすることです。SCAは、コードからクラウドまでのリスクを特定するPrisma Cloudのクラウドネイティブ アプリケーション保護プラットフォームの数あるコンポーネントの1つです。

  • ソフトウェアの開発時とテスト時のコードに含まれるリスクを特定

    GitHubなどのリポジトリや、Docker、Quay、Artifactoryなどのレジストリの全体にわたって、オープン ソース パッケージとイメージに脆弱性やコンプライアンスの問題がないかチェックします。

  • 導入を検証済みイメージに限定

    Prisma Cloudのイメージ スキャン機能とコンテナ サンドボックス分析機能を利用して、不正なイメージを検出・ブロックし、安全なイメージだけを本番環境に導入します。

  • あらゆるランタイム環境でのアクティビティを防止

    一元化されたコンソールからランタイム ポリシーをすべて管理し、あらゆる導入に常にセキュリティが組み込まれるようにします。インシデントを詳細なフォレンジックと豊富なメタデータとともにMITRE ATT&CKフレームワークに関連付けることで、SOCチームが一時的なクラウド ネイティブ ワークロードに対する脅威を追跡するのに役立ちます。

  • コンテキストを考慮したランタイム セキュリティ

    完全なクラウド資産インベントリ、設定評価、自動修復などにより、実行時のデータ侵害やコンプライアンス違反につながる設定ミスや脆弱性を検出して防止します。

CNAPPの要素

OSSライセンスのコンプライアンス

手作業でコンプライアンス レビューを実施した結果、ライセンス使用要件を満たさないオープン ソース ライブラリが発見されるのでは遅すぎます。Prisma Cloudは依存関係のオープン ソース ライセンスをカタログ化し、カスタマイズ可能なライセンス ポリシーを基にデプロイを警告またはブロックできます。

  • コストのかかるオープン ソース ライセンス違反を回避する

    オープン ソース パッケージのライセンスに違反する場合にフィードバックを早期に行いビルドをブロックします。しかも、すべての主要言語とパッケージ マネージャーに対応しています。

  • 業界標準の使用に基づくデフォルト ポリシーを利用

    標準装備ポリシーには、一般的なタイプのライセンスに対する独断的な重大度と非標準タイプのライセンス用語のパターン マッチングが設定されており、利用規定の決定を簡素化します。

  • カスタマイズされたポリシーを作成して社内コンプライアンス要件を適用

    コピーレフト ライセンスや利用自由なライセンスの社内要件を満たすように、ライセンス タイプに基づいてルールを設定します。DevOpsツール統合を通じてポリシー違反を早期にブロックすることにより、将来のライセンス コンプライアンス違反に対処する手間を回避します。

OSSライセンスのコンプライアンス

コード セキュリティ モジュール

IaCセキュリティ

開発ワークフローに組み込まれた自動IaCセキュリティ

詳細

ソフトウェア構成分析(SCA)

コンテキストを考慮したオープン ソース セキュリティとライセンス準拠

詳細

ソフトウェア サプライチェーン セキュリティ

ソフトウェア コンポーネントとパイプラインをエンドツーエンドで保護

詳細

シークレット セキュリティ

リポジトリとパイプラインに対するフルスタックの多面的なシークレット スキャン。

詳細
主なリソース

Prisma Cloudの能力を詳しく知る

すべてのリソースを表示
データシート

ソフトウェア構成分析

ダウンロード
ビデオ

ソフトウェア構成分析(SCA)とは?

今すぐ視聴
ホワイト ペーパー

SCAチェックリスト

ダウンロード
ブログ

積極的なオープンソース ライセンス コンプライアンスが必要な理由

ブログを読む
オンデマンド ウェビナー

技術解説: SCA

今すぐ視聴
データシート

コード セキュリティ

ダウンロード

最新ニュース、イベント情報、脅威アラートを配信

人気のあるリソース

法定通知

アカウント

脆弱性の報告

Copyright © 2024 Palo Alto Networks. All rights reserved