要約:
- Sonarは、SASTツールとTideliftの買収によって得たSCAツールを組み合わせたオファリングを追加することを発表。
- SonarQube Advanced Securityにより、DevSecOpsチームは自社が開発したコードやオープンソース貢献者によって開発されたサードパーティコードをより良くセキュリティできる。
- Tideliftが開発したSCAツールは、サードパーティソフトウェアの既知の脆弱性を追跡、管理、軽減し、ライセンスモデルに基づいてソフトウェアコンポーネントの使用状況を監視できる。
- SBOMを作成することで、規制要件への適合がより簡単になる。
- SonarQube Advanced Securityのローンチにより、これらの機能が統合オファリングとして提供される。
感想:
ソフトウェア開発においてセキュリティは非常に重要であり、Sonarの取り組みは開発チームがより確実にセキュリティを確保できるよう支援している。特に、サードパーティソフトウェアの脆弱性の追跡や管理を簡素化する点は注目に値する。今後は、AIがセキュリティ問題を浮き彫りにするためにより広く活用されることが望まれるが、その過程で新たな課題も生じていることが示唆されている。セキュリティは常に警戒が必要であり、ソフトウェア開発ライフサイクル全体で脆弱性が導入されないようにするためには、開発チームの引き続きの取り組みが不可欠である。
元記事: https://devops.com/sonar-combines-sast-and-sca-tools-in-single-offer/