SOLUTION
シノプシスがセキュアなソフトウェア開発を支援するCode Sight Standard Editionの提供を開始
2022.3.8 4:03 pm
ソースコードやオープンソース依存関係に潜む脆弱性を特定可能にするスタンドアロン・タイプのIDEプラグイン
シノプシスは本日、統合開発環境(IDE)向けのCode Sightプラグインのスタンドアロン版、Code Sight™ Standard Edition(*1)の一般提供開始を発表した。このソリューションを活用することにより、開発者は、コーディングが完了する前の段階で、ソースコードやオープンソースの依存関係、IaC(infrastructure-as-code)ファイルなどに潜むセキュリティ上の不具合箇所を短時間で検出/修正することが可能となる。
Code Sight Standard Editionは、シノプシスのRapid Scan Static and Rapid Scan SCAテクノロジ(*2)を活用して、開発者のIDEの中でライトウェイトなアプリケーション・セキュリティ解析を高速に実行するため、ソフトウェア開発ライフサイクル(SDLC)の後半で問題が発覚することによって引き起こされる修正作業がもたらす開発コスト増加を防止できる。
Code Sight Standard Editionの活用により、コーディングをしながらセキュリティ上の不具合の修正が可能になるため、コーディング終了後のセキュリティ・テストの負荷を削減し、修正作業がもたらす開発コスト増加を最小限に抑制できる。現在、Visual Studio Code IDEに組み込んで使用でき、静的解析ツール Coverityやソフトウェア・コンポジション解析ツール Black Duckといった一元型のセキュリティ・テスト・ツールとは切り離して実行できる。VS Code Marketplaceからダウンロードしてインストールでき、速やかに解析作業を開始できる。30日間の無料トライアル期間も設けられている。
シノプシス ソフトウェア・インテグリティ・グループ ジェネラル・マネージャー Jason Schmittは、次のように述べている。
「近年のソフトウェア開発現場では、スピードが命であり、ソフトウェアに潜むリスクはビジネス・リスクそのものです。従って開発者は、所属する企業/団体を守る重責を担っている一方で、作業を止めてじっくり調査したりするような贅沢な時間は許されません。開発初期段階から、よりセキュアなコードを担保できるテクノロジを採用することにより、開発者はSDLCの後期段階になってからコードやオープンソースに潜むセキュリティ上の不具合を修正するのに費やされる長い期間を大幅に削減することができます。
とはいえ、そのために開発者が従来のやり方の変更を余儀なくされたり、複数のツール間を行ったり来たりして作業する状況になるようでは、こうしたメリットを享受することはできなくなります。Code Sight Standard Editionには、シノプシスが業界をリードするコード解析テクノロジならびにオープンソース解析テクノロジが組み込まれており、開発スピードを落とさないための最適化が施され、使い慣れたツール環境の中で実行できる非常にユニークなソリューションです」
*1 Code Sight™ Standard Edition
https://www.synopsys.com/ja-jp/software-integrity/code-sight.html?cmp=pr-sig&utm_medium=referral
*2 Rapid Scan Static and Rapid Scan SCAテクノロジ
https://www.synopsys.com/blogs/software-security/rapid-scan-appsec-testing-for-developers/?cmp=pr-sig&utm_medium=referral
・Code Sight IDEプラグインのダウンロード
https://marketplace.visualstudio.com/items?itemName=SynopsysCodeSight.vscode-codesight
シノプシス ソフトウェア・インテグリティ・グループ
詳細 https://www.synopsys.com/ja-jp/software-integrity.html