コード セキュリティ

Cortex® Cloudは、開発者ツールと連携して、クラウド ネイティブのインフラストラクチャとアプリケーションで、自動化されたセキュリティを実現します

Code Security Front

クラウド ネイティブ アプリケーション開発は、ペースが速く複雑です。セキュリティ チームがこのペースに追従するのは、困難な場合があります。しかし、DevOpsのいくつかのベスト プラクティスを採用し、コードからクラウドまで™カバーするアプリとインフラのセキュリティを自動化によって実現することで、チームのプレッシャーを軽減できる可能性があります。

最新アーキテクチャとソフトウェア サプライチェーンをすべてカバーするコード セキュリティを、1つのツールで。

Cortex Cloudは、ソフトウェア開発サイクル全体に包括的なセキュリティを組み込んでいます。これにより、脆弱性、設定ミス、コンプライアンス違反、公開シークレットを開発ライフサイクルの初期段階で検出します。また、IaCテンプレート、コンテナ イメージ、オープン ソース パッケージ、デリバリー パイプラインのスキャンにも対応しており、オープン ソース コミュニティと長年の脅威リサーチ経験に裏付けられたコード セキュリティを実現できます。さらに、可視性とポリシー制御の連携により、セキュリティ チームはエンジニアリング チームがツールを切り替えることなくスタック全体を保護しつつ、デプロイされる全コードの安全を確保できます。
  • 複数の言語、ランタイム、フレームワークのサポート
  • 構築時から実行時までの一貫した制御
  • DevOpsツールへの組み込み
  • Infrastructure as Code (IaC)スキャン
    Infrastructure as Code (IaC)スキャン
  • ソフトウェア構成分析(SCA)
    ソフトウェア構成分析(SCA)
  • シークレット スキャン
    シークレット スキャン
  • Policy as Code
    Policy as Code
  • OSSライセンスのコンプライアンス
    OSSライセンスのコンプライアンス
Cortex CLOUDソリューション

弊社のコード セキュリティ アプローチ

Infrastructure as Codeのスキャン

Infrastructure as Codeでは、本番環境に導入する前に、クラウド インフラストラクチャをコードの状態で保護できます。Cortex Cloudは、自動化を使用し、Terraform、CloudFormation、Kubernetes、Dockerfile、Serverless、およびARMテンプレート用にDevOpsツールのワークフローにセキュリティを組み込むことで、ソフトウェア開発ライフサイクル全体のセキュリティを簡素化します。

  • コードのクラウド セキュリティ スキャンを自動化

    ソフトウェア開発ライフサイクルの各段階に、設定ミスと公開シークレットの自動チェックを追加します。

  • オープン ソースとコミュニティの力を活用

    Checkovは、Cortex CloudのIaCセキュリティの中核を担うオープン ソースの代表的なPolicy as Codeツールです。活発なコミュニティに支えられており、ダウンロード数は数百万回にのぼります。

  • コード セキュリティのフィードバックを開発ツールに直接提供

    Cortex CloudはIDE、VCS、CI/CDツールとネイティブに統合されており、開発者が既存のワークフローを通じて安全なコードを提供できます。

  • 設定ミスの詳細なコンテキストを組み込む

    Cortex Cloudは、IaCリソースの依存関係と開発者による最新の修正を自動的に追跡し、大規模チームのコラボレーションを改善します。

  • 自動化されたフィードバックとコード内の修正を提供する

    検出した設定ミスに対する修正とSmart Fixのプル リクエストとコミットを自動化するほか、設定ミスのプル リクエスト コメントも自動化します。

Infrastructure as Codeのスキャン

ソフトウェア構成分析

現代のアプリケーション コードの大部分は、オープン ソースの依存関係から構成されています。どのような依存関係を実際に利用しているかを意識せず、互換性を破る変更の適用をためらっていると、脆弱性が修正されません。Cortex Cloudは開発ツールとの統合を通じて、オープン ソース パッケージと依存関係ツリー全体から脆弱性を検出します。また、きめ細かく柔軟なバージョン アップにも対応しています。

  • 業界トップクラスの情報源を活用し、完全オープン ソースのセキュリティに信頼性を

    Cortex Cloudは、所在を問わずオープン ソースの依存関係をスキャンし、NVDなどのパブリック データベースやCortex Cloud Intelligence Streamと比較して脆弱性を検出します。

  • 依存関係の深度を問わず、コンテキストを考慮して脆弱性を検出

    Cortex Cloudは、パッケージ マネージャーのデータを取り込んで、依存関係ツリーを最深部まで推定します。さらに、インフラとアプリケーションのリスクを関連付け、修復の優先度を迅速に判定します。

  • 開発ライフサイクル全体にオープン ソース セキュリティを統合

    IDEとVCSのプル/マージ リクエストを通じて、リアルタイムに脆弱性を開発者にフィードバックし、脆弱性のしきい値に基づいてビルドを阻止します。これにより、クラウド ネイティブ環境の安全を先手で維持できます。

  • 互換性を破る変更を回避しながら問題を修正

    重要機能が動作しなくなるリスクを回避しつつ、直接/推移的依存関係に含まれる脆弱性の修正に必要な最低限の更新を提案します。また、パッケージごとにバージョンを細かく選択できる柔軟性を有し、複数の問題を一度に修正できます。

ソフトウェア構成分析

シークレット セキュリティ

悪質なアクターにとって、オンラインで公開されている認証情報を見つけて悪用するのに必要な時間は、ほんの数分です。 Cortex Cloudを使用すると、本番環境に先立って機密情報を特定することができます。シグネチャとヒューリスティクスを使用して、構築時に、開発環境のIaCテンプレートとコンテナ イメージの機密情報を見つけて削除します。

  • ほとんどのファイル タイプからシークレットを検出

    IaCテンプレート、ゴールデン イメージ、Gitリポジトリ設定に含まれるパスワードとトークンを検出します。

  • 開発ツールに含まれるシークレットを検出

    IDE、CLI、プレコミット、CI/CDツールを介して、開発コードに含まれるハードコードされたシークレットを早期検出します。

  • 多面的なシークレット スキャン

    正規表現、キーワード、または微調整されたエントロピーに基づく識別子を利用し、一般的なシークレットもそうでないシークレットも検出します。

シークレット セキュリティ

Policy as Code

従来のセキュリティ テストでは、個々の組織が個々のツールを使用して実施するため、管理がサイロ化され、再現性に課題が残ります。Cortex Cloudでは、制御がコードに組み込まれたPolicy as Codeを提供しており、これにより、制御の再現、バージョン管理、ライブ コード リポジトリに基づいたテストができます。

  • コードを使用してポリシーを構築し管理する

    IaCテンプレート用に、PythonとYAMLで、チェックリスト、スキップリスト、グラフベースのカスタム ポリシーを定義、テスト、バージョン管理します。

  • アカウントとエージェントをコードで導入および設定する

    Terraformを使用して、アカウントのオンボーディング、エージェントの導入、ランタイム ポリシーの設定(OpenAPIファイルやSwaggerファイルに基づく取り込みや保護など)を行います。

  • 設定ミスに対する標準ポリシーとカスタム ポリシーを活用

    Cortex Cloudには、コード上で構築された数百種類のカスタム ポリシーが標準搭載されています。また、クラウド リソースやIaCテンプレート用のカスタム ポリシーを追加することも可能です。

  • 作成中のコードに直接フィードバックを提供する

    IaCテンプレートには、自動修正、プル/マージ リクエスト コメント、およびプル/マージ リクエストの自動修正によるフィードバックが直接含まれます。

Policy as Code

OSSライセンスのコンプライアンス

すべての企業には、オープン ソース ライセンスの独自の利用規定があります。手作業でコンプライアンス レビューを実施した結果、要件を満たさないオープン ソース ライブラリが発見されるのでは遅すぎます。Cortex Cloudでは、依存関係のオープン ソース ライセンスをカタログ化し、カスタマイズ可能なライセンス ポリシーを基に、デプロイを警告またはブロックすることが可能です。

  • コストのかかるオープン ソース ライセンス違反を回避する

    オープン ソース パッケージのライセンスに違反する場合に、フィードバックを早期に行いビルドをブロックします。しかも、すべての主要言語とパッケージ マネージャーに対応しています。

  • gitおよび非gitのリポジトリをスキャンして問題を特定する

    Cortex Cloudは、GitHubやBitbucketなどのバージョン管理システムとネイティブに統合されています。また、コマンド ライン ツールを用いて、任意のタイプのリポジトリをスキャンすることも可能です。

  • デフォルトのルールを使用したり、アラートやブロックをカスタマイズする

    コピーレフト ライセンスや利用が自由なライセンスの社内要件を満たすように、ライセンス タイプに基づいてアラートとブロックしきい値を設定できます。

OSSライセンスのコンプライアンス

追加のアプリケーション セキュリティ機能

IaCセキュリティ

開発ワークフローに組み込まれた自動IaCセキュリティ

ソフトウェア構成分析(SCA)

コンテキストを考慮した非常に正確なオープン ソース セキュリティとライセンス準拠

ソフトウェア サプライチェーン セキュリティ

アプリケーション開発環境に対応するグラフベースのサプライ チェーン セキュリティ

シークレット セキュリティ

リポジトリとパイプラインに対するフルスタックの多面的なシークレット スキャン。