CoverityやBlack Duckなどを統合、IDE連携で脆弱性やリスクを発見「Polarisプラットフォーム」
シノプシス、セキュアなソフトウェア開発を支援する新基盤発表
2019年03月12日 07時00分更新
半導体の電子設計自動化ツールやソフトウェア開発ツールなどを提供する米シノプシスが、米国で開催されたセキュリティカンファレンス「RSA Conference 2019」において、統合管理プラットフォーム「Polarisソフトウェア・インテグリティ・プラットフォーム」(以下、Polaris)を発表した。
Polarisは、これまで同社が買収を通じて拡充してきた静的解析ツール「Coverity」、オープンソースソフトウェア(OSS)管理ソリューション「Black Duck」、脆弱性自動検出ツール「Seeker」などを統合した新しいプラットフォームで、開発プロジェクトマネージャーやセキュリティ責任者が開発中のコードに内在する脆弱性を把握し、開発者へ迅速なフィードバックを行うことを可能にする。これにより、開発スピードを損ねることなく、ソフトウェア開発ライフサイクルを通じたセキュアなコーディングを実現する。Coverity、Black Duck、Seeker、マネージドサービスのライセンスがあれば無償で利用できる。
Polarisソフトウェア・インテグリティ・プラットフォームの仕組み
Polarisは、IDEプラグインである「Polaris Code Sight」と「セントラル・アナリシス・サーバー」で構成される。セントラル・アナリシス・サーバーはSaaS利用、またはプライベートクラウドへの展開が可能。
Code SightはIntelliJ、Eclipse、Visual Studioに対応しており、各IDEのマーケットプレイスからダウンロードできる。ローカルマシン上にインストールされるエンジンがバックグラウンドでコードの増分を解析し、その結果をクラウド側のレポジトリに送信する。検出された脆弱性のある箇所や修正方法などは、エディタ上でアイコンやアノテーションとして表示される。加えて、当該脆弱性の詳細を学ぶeラーニングコンテンツへのリンクも提供される(別途ライセンスが必要)。こうした仕組みで、開発者はコーディングをしながらコード内に潜む脆弱性やセキュリティリスクを解消し、同時にセキュリティに対する知見を高めていくことができる。
Code Sightプラグインを組み込んだIDEの画面イメージ。CSRF(クロスサイトリクエストフォージェリ)脆弱性のアラートやその説明が、コードの当該行や画面下のウィンドウに表示されている
米シノプシス プロダクトマネジメント シニアディレクターのラヴィ・アイアー氏は、Code Sightについて「Microsoft Wordの『校正機能』に近いイメージ」だと表現し、これを使うことで「開発者は作業環境を何も変えることなく、コードの品質を高めることができる」と説明する。
また、前職がソフトウェア開発者だったという同社 プロダクトマネージャーのウトゥサフ・サンガーニ氏は、Code Sightの設計に当たって配慮した点として「開発者はとにかくコーディングに集中したいので、IDE以外のセキュリティテストツールを押し付けられることを嫌がる。そうした煩わしさがなく、スムーズにセキュアコーディング環境に移行できるよう意識した」と語った。
(左から)Synopsys、プロダクトマネジメント、シニアディレクター、ラヴィ・アイアー氏と、プロダクトマネージャーのウトゥサフ・サンガーニ氏
セントラル・アナリシス・サーバーは、クラウドベースのテスト/ビルド環境となる。ロールベースのポータル機能を備え、検証対象プロジェクトへのアクセス権限が制御されるほか、開発プロジェクトマネージャーやセキュリティ責任者、経営層などが活用できるダッシュボードやレポート作成機能もある。
管理者は定期的にアップデートされる解析サマリーからコーディングの状況を把握し、必要に応じて開発側に修正依頼を投げることができる(メールやSlackによる通知に対応)。問題点は「深刻度別」で一覧表示され、「OWASP 10」や「CWE/SANS Top 25」といった各種ベンチマークに基づくグラフも表示可能。 また監査時の証跡として、ワークフローのログを記録することもできる。
Polarisのダッシュボード画面、レポート画面
現時点では、CoverityがPolarisに統合済み。今後、Black Duckは今年の第2四半期に、その他SeekerやManage Serviceは今年中を目処に完全統合を予定している。 アイアー氏は、CoverityとBlack Duckのユーザーはオーバーラップする部分が多く、特にWebアプリを開発しているような企業では、「Coverityのような静的解析ツールを使ってコーディングしながら、Black Duckのようなソフトウェアコンポジション解析ツールを使ってOSSコンポーネントの管理を実施している可能性が高い」と語った。
「SeekerにはBlack Duck Binary Analysisが統合されているので、OSSコンポーネントの既知の脆弱性やライセンス上の問題を自動検知する仕組みがすでに存在する。こうした機能に加えて、Coverity、BD、SeekerのPolaris統合が完了すれば、同プラットフォーム上に開発関連の“統合データレイク”が構築される。たとえばCoverityやBlack Duckなどで検出された問題点を相関付けし、優先度に応じて修正、リリースするといった作業が容易になるだろう。DevOpsを大きく後押しする、包括的で強力なプラットフォームになることは間違いない」(アイアー氏)
