Contrastの仕組み

Contrast Securityは、お客様のアプリケーションポートフォリオにおいて、継続して高精度なリアルタイムのアプリケーションセキュリティを提供します。以下の主要製品により、Contrastが各アプリケーション内で機能し、開発ライフサイクル全体を通じてアプリケーションを安全なものにします。

  • Assessは、開発中に脆弱性を正確に検出して、脆弱性を修復するためのガイダンスを提示します。

  • Protectは、攻撃を自動的に識別し、本番環境で脆弱性が悪用されるのを防ぎます。

  • OSSは、オープンソースコンポーネントがもたらすセキュリティリスクや法的な問題を可視化します。

Contrastでは、エージェントを組み込むことにより、実行中のアプリケーションから直接脆弱性を検出します。Contrastを使用することで、開発環境から本番環境まで、ソフトウェア開発ライフサイクル全体をサポートできます。開発者は開発中にContrastを利用することにより、脆弱性に関する高精度なフィードバックを即座に得て、セキュアなコードをチェックインできます。手動、自動、CI/CDパイプライン内といった種類を問わず、通常のテスト中にContrastによってアプリケーションのセキュリティテストが十分に行われます。また本番環境では、Contrastによって攻撃が完全に可視化され、悪用されるのを防ぐこともできます。

Contrastでは、以下のように様々なデータソースと分析手法が統合されています。

  • ランタイムの制御フローとデータフロー(IAST)

  • アプリケーションのコードやAPI (SAST)

  • HTTPリクエストとレスポンス(DASTに類似)

  • アプリケーション内の全てのライブラリおよびフレームワークとその使用状況(SCA)

  • 設定情報

  • バックエンドの接続状況

Contrastでは、コードの構築、テスト、デプロイを行う方法を変更する必要がないため、さまざまなソフトウェア開発プロセスと容易に統合できます。Contrastを利用すると、アプリケーションの動作確認が実質的にセキュリティテストにもなるため、テストを実行するたびにセキュリティのフィードバックが得られます。スキャナーと異なり、Contrastの結果は継続的かつリアルタイムに得られるため、パイプラインの遅延は生じません。

ソフトウェアの開発手法(従来型、アジャイル、DevOps)にかかわらず、Contrastのインテグレーション機能により、全てのチームメンバーが既に使用しているツールで脆弱性に関する高精度なフィードバックを得られます。このアプローチにより、セキュリティと開発の効果的な連携が促され、ソフトウェアの開発プロセスが加速します。

ヒント

ContrastのCommunity Editionは無料でご利用いただけます。動作を実際にお試しください。