オープンソースのリスクを排除する

開発チームとセキュリティチームの橋渡し

アプリケーション開発のセキュリティをシフトレフト

クラウドセキュリティのリーダーであるトレンドマイクロと、オープンソースセキュリティのリーダーであるSnykは、展開するソフトウェアが絶えず変化するサイバー脅威の状況でのエクスプロイトから確実に保護されるように協力しています。

オープンソースパッケージは、アプリケーション開発の基盤であり、完成までの時間を短縮します。セキュリティチームは、組織のアプリケーション開発環境全体でのオープンソースコードと依存関係のリスクの影響を特定するための支援を必要としています。

ハッカーは、オープンソースパッケージと依存関係の脆弱性を利用して、アプリケーションで同じ安全でないソースコードを使用している組織に対して攻撃を実行します。アプリケーション開発者が使用しているすべてのコードパッケージを追跡することは難しい場合がありますが、パッケージの脆弱性とパッチを追跡することはさらに大きな課題になります。

ケビン・シムザー Kevin Simzer

パートナーシップの価値(英語)

Mark Nunnikhoven

セキュリティの課題への対応(英語)

開発チーム が利用するオープンソースのセキュリティチェックを支援します

Geva Solomonovich

セキュリティチームと開発者チームをまとめる(英語)

ソフトウェア配信プロセスを中断することなく、オープンソースコードが導入された瞬間から、あらゆる開発環境にわたって、コード作成からランタイムまで完全なコラボレーションとカバレッジを備えたクラウドビルダーとクラウドセキュリティエンジニアを想像してみてください。

Snykとトレンドマイクロのパートナーシップにより、開発・運用のライフサイクルにセキュリティ運用チームが関与できるようになり、組織全体でセキュリティ面でのコラボレーションを強化します。

パートナーシップの結果、Trend Micro Cloud One™では下記のことができるようになります。

  • ソースコード管理から直接可視性を取得し、パイプラインを構築します
  • オープンソースの脆弱性のリスクを管理する
  • 脅威になる前にセキュリティ問題を指示し、解決するのに役立ちます
     

この拡大するパートナーシップは、トレンドマイクロの既存のサービスを補完して、セキュリティ運用チームがコンテナイメージとレジストリセキュリティを利用できるようにし、Snykからのソースコードの脆弱性スキャンを含みます。

Gartner Researchによると

技術者の90%がオープンソースコンポーネントに依存しています※1

※1 https://www.gartner.com/en/documents/3971011/technology-insight-for-software-composition-analysis

トレンドマイクロのTrend Micro Cloud One - Container Security™は、マルウェア、シークレットとキー、コンプライアンス違反、脆弱性などのセキュリティ問題を1つのソリューションから検出するための優れたコンテナイメージスキャンを提供します。

開発者チームは、パッケージマネージャーがインストールされたアプリだけでなく、直接インストールされたアプリも脆弱性を検出し、脅威インテリジェンスチームから提供されたルールを使用します。

オープンソースソフトウェアの依存関係は、コードに脆弱性をもたらす可能性があり、最終的にはソフトウェアを危険にさらし、機密情報を失う可能性があります。Snykのオープンソース脆弱性データベースを使用すると、トレンドマイクロのコンテナセキュリティは、脆弱性検出を拡張してオープンソースコードを含めることにより、セキュリティをさらにシフトレフトします。

Trend Micro Cloud One - Container Security

ソフトウェアビルドパイプラインでコンテナイメージをスキャンし、脆弱性、マルウェア、シークレットとキー、およびコンプライアンス違反を探します。

わたしたちの脆弱性インテリジェンスをSnykのオープンソース脆弱性データベースと組み合わせると、コンテナイメージで使用されているオープンソースライブラリのインベントリが作成されます。パッケージで脆弱性が発見された場合、システムはSnykのオープンソースライブラリと自動的に相互参照します。脆弱性データベースを入手して、一致があるかどうかを確認します。

トレンドマイクロのコンテナセキュリティはDevOpsチームに通知し、Snykアプリケーションセキュリティ管理により、開発者はソースコードの脆弱性を簡単に修正できます。

これらの高度な機能と、開発プロセスの早い段階でのセキュリティの実装を組み合わせることで、予期しない脅威のためにコンテナの展開を遅らせる必要がなくなります。

Snykについて

Snyk logo

Snykは、オープンソースコードを使用して安全性を維持するのに役立つセキュリティソリューションを提供しています。Snykは独自の脆弱性データベースに基づいて、オープンソースの依存関係における既知の脆弱性とライセンス違反を継続的に発見します。Snykは開発者のワークフローに統合され、ソース管理(GitHub、BitBucket、GitLabなど)と統合され、CI / CDパイプラインに接続され、PaaS(Platform as a Service)と本番環境のサーバレスアプリを継続的に監視します。

30万人以上の開発者がすでにSnykを利用しています

パートナーシップの発表