マイクロソフトは、Endor Labsを選定し、ソフトウェアコンポジション解析(SCA)ツールをクラウドネイティブアプリケーション保護プラットフォーム(CNAPP)に統合することを発表
- Lara Goldstein氏によると、マイクロソフトのセキュリティ製品マネージャーである彼女は、複数のSCAツールを評価した後、Endor Labsと提携することを決定した理由は、そのアプローチが発見された脆弱性の実際の到達可能性についてより深い洞察を提供したためであると述べた
- Endor Labsは、今年初めにSCAツールに分析機能を追加し、例えば、オープンソースソフトウェアパッケージをアップグレードする際の難しさや、アプリケーションを壊す可能性などを判断できるようになった
- さらに、同社はEndor Magic Patches機能を追加し、DevSecOpsチームが、モジュールをアップグレードするのが困難であると判断した場合に、前のバージョンに後のリリースで作成されたパッチを適用できるようになった
- マイクロソフトとの提携により、DevSecOpsチームが単一のプラットフォーム内でアプリケーションとインフラセキュリティの問題の両方に対処できるようになった
- 将来的には、Endor LabsはGitHub CopilotとそのSCAツールを統合し、追加の修復ガイダンスを提供する予定
私の考え:
マイクロソフトとEndor Labsの提携は、アプリケーションセキュリティにおいて革新的なソリューションを提供しています。SCAツールの統合により、開発チームが直面する潜在的な問題を減らし、DevSecOpsチームの能力向上に貢献しています。将来的には、GitHub Copilotとの統合により、AIツールを活用した補完的なガイダンスが提供されることで、セキュリティの向上が期待されます。現在の調査結果からも、組織がアプリケーションセキュリティへの投資を進めていることが示されており、DevSecOpsの実践がソフトウェアセキュリティの向上に大きな影響を与えていることが確認されています。
元記事: https://devops.com/microsoft-enlists-endor-labs-to-integrate-sca-tool-with-cnapp/