Veracode は、開発者主導のアプリケーション セキュリティの新しい標準を確立するプラットフォームのイノベーションを発表しました。
Veracode を搭載した Longbow Security の新しいリポジトリ リスクの可視性と分析により、コード リポジトリからランタイム イメージまでのアプリケーション リスクの修復が迅速化されます。このソリューションは、統合開発環境 (IDE) の Veracode Fix および Batch Fix とともにリリースされ、開発チームとセキュリティ チーム間のギャップを埋めます。これらの最新のイノベーションにより、開発者は価値と差別化を促進する最も重要なタスクに集中できます。
「今日の開発者は、これまで以上に迅速に革新を進め、コードに対してより多くのセキュリティ チェックを実行するという大きな競争圧力に直面しています」と Veracode の製品管理グループ責任者 Tim Jarrett 氏は述べています。「当社は、開発者とセキュリティ オペレーターにスムーズなエクスペリエンスを提供することに注力しており、最新の製品機能強化により、コードのセキュリティ保護の作業がシンプルかつシームレスになります。」
4 月に Veracode は Longbow Security を買収し、拡大する攻撃対象領域全体で組織がアプリケーション リスクを効果的に管理および削減できるように支援しました。Longbow の最新機能であるリポジトリ リスクの可視性と分析の統合により、コード リポジトリからクラウド アセットやランタイム イメージまでの可視性が強化され、開発チームとセキュリティ チーム間のギャップが解消されます。また、リポジトリから発生するクラウド アセットのインフラストラクチャ アズ コードと構成ミスのリスクも明らかにされます。
「お客様から、Longbow のクラウド リスクと優先順位付けに関する当社独自の専門知識を、コード リポジトリの上流リスク管理で直面する問題に適用するよう求められました」と Veracode の製品管理担当副社長 Derek Maki 氏は述べています。「当社は、ソース コードの弱点とランタイム セキュリティ態勢の関係を可視化するソリューションで対応しました。同時に、開発チームはリスクを統合的に把握し、修復の優先順位付け、コード変更の削減、問題の迅速な解決に関して大幅な時間の節約を実現できます。」
この新機能は、Veracode の GitHub リポジトリ スキャンに関する最新のイノベーションを補完するものであり、開発者はステージング サーバーや環境などのアクティビティを効率化できるため、毎回スキャンする必要がありません。これにより、Veracode の結果が GitHub に配信され、開発者がすぐに対応できるようになるため、開発チームとセキュリティ チームが安全なコーディングとスキャンについて共同作業しやすくなります。
調査によると、米国を拠点とする開発者の 92% がすでに仕事の内外で人工知能 (AI) コーディング ツールを使用しており、生成 AI によってソフトウェア エンジニアはコードを 35 ~ 45% 速く書くことができるようになっています。同時に、他の調査では、AI によって開発されたコードには、人間が生成したコードと同じ割合でセキュリティ上の欠陥が含まれていることが示唆されています。
Veracode は、AI 生成の安全なコード修正を開発者に提供するソリューションを提供します。重大度評価が中から非常に高い CWE (Common Weakness Enumeration) の 92% は、Veracode Fix の AI 生成コード編集によって対処できます。
IDE に Veracode Fix が導入されたことで、開発者はアプリケーションを切り替えたり、代替コード オプションを調査したりすることなく、IDE 内で AI が提案する修復方法を使用して、より迅速に欠陥を修正できるようになりました。コードがソフトウェア開発ライフサイクルにプッシュされる前に修正を行うことができるため、遡及的な修復に比べて、欠陥の修正にかかる時間とコストが大幅に削減されます。
バッチ修正により、1 回の操作で複数の欠陥やファイルにわたるソース コードの欠陥を AI 支援で一括修正できます。これにより、欠陥の修正が桁違いに高速化され、セキュリティ負債の大規模な削減に役立ちます。たとえば、開発者はこれを使用して、簡単にテストできる解決策を必要とする CWE を修正し、複数のソース ファイルで一度に実行できます。
ジャレット氏は最後に、「これらの最新のイノベーションにより、Veracode は開発者が日常的に使用するツールで開発者のニーズに応え、生産性を損なうことなく、今日作成するコードのセキュリティを確保します。これにより効率と速度が大幅に向上し、開発チームとセキュリティ チーム間のコラボレーションと信頼の文化が育まれます」と述べました。
リポジトリリスクの可視性と分析、IDE での Veracode 修正、およびバッチ修正はすぐにご利用いただけます。

元記事: https://www.helpnetsecurity.com/2024/05/02/veracode-repo-risk-visibility/