Infrastructure as Codeでは、本番環境に導入する前に、クラウド インフラストラクチャをコードの状態で保護できます。Cortex Cloudは、自動化を使用し、Terraform、CloudFormation、Kubernetes、Dockerfile、Serverless、およびARMテンプレート用にDevOpsツールのワークフローにセキュリティを組み込むことで、ソフトウェア開発ライフサイクル全体のセキュリティを簡素化します。

• コードのクラウド セキュリティ スキャンを自動化

  ソフトウェア開発ライフサイクルの各段階に、設定ミスと公開シークレットの自動チェックを追加します。

• オープン ソースとコミュニティの力を活用

  Checkovは、Cortex CloudのIaCセキュリティの中核を担うオープン ソースの代表的なPolicy as Codeツールです。活発なコミュニティに支えられており、ダウンロード数は数百万回にのぼります。

• コード セキュリティのフィードバックを開発ツールに直接提供

  Cortex CloudはIDE、VCS、CI/CDツールとネイティブに統合されており、開発者が既存のワークフローを通じて安全なコードを提供できます。

• 設定ミスの詳細なコンテキストを組み込む

  Cortex Cloudは、IaCリソースの依存関係と開発者による最新の修正を自動的に追跡し、大規模チームのコラボレーションを改善します。

• 自動化されたフィードバックとコード内の修正を提供する

  検出した設定ミスに対する修正とSmart Fixのプル リクエストとコミットを自動化するほか、設定ミスのプル リクエスト コメントも自動化します。

悪質なアクターにとって、オンラインで公開されている認証情報を見つけて悪用するのに必要な時間は、ほんの数分です。 Cortex Cloudを使用すると、本番環境に先立って機密情報を特定することができます。シグネチャとヒューリスティクスを使用して、構築時に、開発環境のIaCテンプレートとコンテナ イメージの機密情報を見つけて削除します。

• ほとんどのファイル タイプからシークレットを検出

  IaCテンプレート、ゴールデン イメージ、Gitリポジトリ設定に含まれるパスワードとトークンを検出します。

• 開発ツールに含まれるシークレットを検出

  IDE、CLI、プレコミット、CI/CDツールを介して、開発コードに含まれるハードコードされたシークレットを早期検出します。

• 多面的なシークレット スキャン

  正規表現、キーワード、または微調整されたエントロピーに基づく識別子を利用し、一般的なシークレットもそうでないシークレットも検出します。

すべての企業には、オープン ソース ライセンスの独自の利用規定があります。手作業でコンプライアンス レビューを実施した結果、要件を満たさないオープン ソース ライブラリが発見されるのでは遅すぎます。Cortex Cloudでは、依存関係のオープン ソース ライセンスをカタログ化し、カスタマイズ可能なライセンス ポリシーを基に、デプロイを警告またはブロックすることが可能です。

• コストのかかるオープン ソース ライセンス違反を回避する

  オープン ソース パッケージのライセンスに違反する場合に、フィードバックを早期に行いビルドをブロックします。しかも、すべての主要言語とパッケージ マネージャーに対応しています。

• gitおよび非gitのリポジトリをスキャンして問題を特定する

  Cortex Cloudは、GitHubやBitbucketなどのバージョン管理システムとネイティブに統合されています。また、コマンド ライン ツールを用いて、任意のタイプのリポジトリをスキャンすることも可能です。

• デフォルトのルールを使用したり、アラートやブロックをカスタマイズする

  コピーレフト ライセンスや利用が自由なライセンスの社内要件を満たすように、ライセンス タイプに基づいてアラートとブロックしきい値を設定できます。