[新製品・サービス]
ソースコード解析「Coverity」とOSS管理「Black Duck」によるDevSecOpsサービス─日立ソリューションズ
2024年7月5日(金)日川 佳三(IT Leaders編集部)
日立ソリューションズは2024年7月4日、日本シノプシスのアプリケーションセキュリティテスト/DevSecOpsサービス「Polaris Software Integrity Platform」を販売開始した。ソースコード静的解析の「Coverity」と、OSSの脆弱性/利用状況管理の「Black Duck」に備わる解析エンジンを組み合わせてSaaS型で提供する。価格は個別見積もり。
日立ソリューションズが販売開始した「Polaris Software Integrity Platform」は、日本シノプシス(Synopsys)のアプリケーションセキュリティテスト/DevSecOpsクラウドサービスである。
開発中のアプリケーションの安全性をテストするサービスで、SAST(静的アプリケーションセキュリティテスト)、DAST(動的アプリケーションセキュリティテスト)、SCA(ソフトウェアコンポジション解析:ソフトウェアに含まれるOSSやライブラリを識別)の3つのテスト機能を提供する(図1)。
図1:Polaris Software Integrity Platformの概要(出典:日立ソリューションズ)拡大画像表示
シノプシスの2製品に備わる解析エンジンを組み合わせて上記のテスト機能を提供する。ソースコードに潜む不具合やセキュリティ上の脆弱性を検出する静的解析ツール「Coverity(コベリティ)」と、オープンソースソフトウェア(OSS)の利用状況と依存関係を調べて、脆弱性やソフトウェアサプライチェーンリスクを管理するツール「Black Duck」である。
両ツールの組み合わせによって、包括的なセキュリティチェックと、ソフトウェア部品表(SBOM)の対応を同時に実現するとしている。開発ライフサイクルにおいて必要な複数種類のテストを一元的に実行・管理でき、それぞれの解析の同時実行、SBOMの生成に対応している。
また、AIを用いたコードの修正候補提案や、開発チームで解析結果を共有するためのダッシュボードなどを提供するほか、コードリポジトリへの接続や開発ツールとの連携、ワークフローへの組み込みを容易にするという。
価格は個別見積もり。表1は、Polaris Software Integrity Platformで利用可能な言語とパッケージマネージャである。
| SAST(静的解析)の対象言語 | Salesforce Apex、C/C++、C#、Go、Java、JavaScript、Kotlin、Objective-C/C++、PHP、Python、Ruby、Swift、TypeScript、Visual Basic |
| SCA(利用しているOSSの特定)の対象言語とパッケージマネージャ | XML、Apache Ivy、BitBake、Cargo、Carthage、CocoaPods、Conan、Conda、CPAN、CRAN、Dart、Erlang/Hex/Rebar、Git、Go Dep、Gogradle、Go Modules、Go Vendor、Gradle、Hex、Lerna、Maven、npm、NuGet、Packagist、PEAR、pip、pnpm、Poetry、RubyGems、SBT、Swift and Xcode、Yarn |
| IaCとフォーマット | AWS Cloud Formation、Kubernetes、Terraform、YAML、JSON |
| ソースコードのリポジトリ | GitHub、GitLab、Azure DevOps、Bitbucket |
日立ソリューションズ / Synopsys / ソフトウェアテスト / DevSecOps / SBOM / Coverity / Black Duck
