Contrastの仕組み
Contrast Securityは、お客様のアプリケーションポートフォリオにおいて、継続して高精度なリアルタイムのアプリケーションセキュリティを提供します。以下の主要製品により、Contrastが各アプリケーション内で機能し、開発ライフサイクル全体を通じてアプリケーションを安全なものにします。
Contrastでは、エージェントを組み込むことにより、実行中のアプリケーションから直接脆弱性を検出します。Contrastを使用することで、開発環境から本番環境まで、ソフトウェア開発ライフサイクル全体をサポートできます。開発者は開発中にContrastを利用することにより、脆弱性に関する高精度なフィードバックを即座に得て、セキュアなコードをチェックインできます。手動、自動、CI/CDパイプライン内といった種類を問わず、通常のテスト中にContrastによってアプリケーションのセキュリティテストが十分に行われます。また本番環境では、Contrastによって攻撃が完全に可視化され、悪用されるのを防ぐこともできます。
Contrastでは、以下のように様々なデータソースと分析手法が統合されています。
ランタイムの制御フローとデータフロー(IAST)
アプリケーションのコードやAPI (SAST)
HTTPリクエストとレスポンス(DASTに類似)
アプリケーション内の全てのライブラリおよびフレームワークとその使用状況(SCA)
設定情報
バックエンドの接続状況
Contrastでは、コードの構築、テスト、デプロイを行う方法を変更する必要がないため、さまざまなソフトウェア開発プロセスと容易に統合できます。Contrastを利用すると、アプリケーションの動作確認が実質的にセキュリティテストにもなるため、テストを実行するたびにセキュリティのフィードバックが得られます。スキャナーと異なり、Contrastの結果は継続的かつリアルタイムに得られるため、パイプラインの遅延は生じません。
ソフトウェアの開発手法(従来型、アジャイル、DevOps)にかかわらず、Contrastのインテグレーション機能により、全てのチームメンバーが既に使用しているツールで脆弱性に関する高精度なフィードバックを得られます。このアプローチにより、セキュリティと開発の効果的な連携が促され、ソフトウェアの開発プロセスが加速します。
ヒント
ContrastのCommunity Editionは無料でご利用いただけます。実際にお試しいただき、動作をご確認ください。