Contrastの仕組み

Contrast Securityは、アプリケーションポートフォリオのアプリケーションを緻密かつ継続的にリアルタイムで保護します。Contrastは各アプリケーション内で機能し、以下の主要製品により開発ライフサイクル全体を通じてアプリケーションを保護します。

  • Assessは、開発中に脆弱性を正確に検出して、修復ガイダンスを提示します。

  • Protectは、攻撃を自動的に特定し、本番環境で脆弱性が悪用されるのを防ぎます。

  • OSSは、オープンソースコンポーネントによってもたらされたセキュリティリスクや法的な問題を厳格に把握できるようにします。

Contrastではエージェントを使用して、構築が完全に済んだ実行中のアプリケーションからセキュリティを直接測定します。Contrastを使用すると、開発環境から本番環境まで、ソフトウェア開発ライフサイクル全体をサポートできます。開発者は開発中にContrastを使用し、迅速かつ正確にフィードバックを取得してセキュアなコードをチェックインできます。手動、自動、CI/CDパイプライン内といった種類を問わず、テスト時にはアプリケーションのセキュリティテストが十分に行われることがContrastによって保証されます。また本番環境では、Contrastを使用して攻撃を完全に把握できるほか、悪用されるのを防ぐこともできます。

Contrastでは、多数のデータソースと、以下を含むさまざまな分析手法が統合されています。

  • ランタイムの制御フローとデータフロー(IAST)

  • アプリケーションのコードまたはAPI (SAST)

  • HTTP要求と応答(DASTに類似)

  • アプリケーション内の全てのライブラリおよびフレームワークとその使用方法(SCA)

  • 設定情報

  • バックエンドの接続

Contrastでは、コードの構築、テスト、デプロイを行う方法を変更する必要がないため、さまざまなソフトウェア開発プロセスと容易に統合できます。Contrastを利用すると、機能テストが実質的にセキュリティテストにもなるため、テストを実行するたびにセキュリティのフィードバックが得られます。スキャナーと異なり、Contrastの結果は継続的かつリアルタイムに得られるため、パイプラインの遅延は生じません。

ソフトウェアの開発手法(従来型、アジャイル、DevOps)にかかわらず、Contrastのインテグレーションを使用すると、全てのチームメンバーが既に使用しているツールを通じて正確なセキュリティのフィードバックを得られます。このアプローチにより、セキュリティと開発の効果的な連携が促され、ソフトウェアの開発プロセスが加速します。

ヒント

ContrastのCommunity Editionは無料でご利用いただけます。ぜひ試用して動作をご確認ください。