リーディングソフトウェアデリバリープラットフォームであるHarness(ハーネス)は、AIを活用した脆弱性検出および到達可能性分析のパイオニアであるQwiet AIの買収を発表した。AIがコードの記述、テスト、そしてデプロイの方法を刷新している今、この戦略的パートナーシップは、エンジニアリングチームとセキュリティーチームが安全にソフトウェアを構築・リリースできるよう支援するというHarnessのコミットメントを示すものだ。
AIコーディングツールとプラクティスの普及によって加速するソフトウェア開発のペースは、コード生成量の増加につながっている。しかし、このスピードはセキュリティーを犠牲にすることも多く、安全でないパターン、検証されていない依存関係、隠れた脆弱性がまん延してい流。AI生成コードの約45%がOWASPトップ10カテゴリーに該当すると推定されており、入力検証の脆弱性、秘密情報のハードコード、レート制限の不十分さといった問題が繰り返し発生している。
HarnessによるQwiet AIの買収は、ソフトウェアデリバリープロセスに到達可能性分析を組み込むことで、これらの課題に対処することを目的としている。このアプローチは、価値の低いアラートのノイズを排除し、真のリスクを優先することで、修復サイクルの短縮、労力の削減、そして企業リスクの最小化に役立つ。QwietのテクノロジーをHarnessプラットフォームに統合することで、セキュリティーを開発者のワークフローに直接組み込み、インテリジェンスによって自動化し、AIを駆使した脅威に対する耐性を高めることが可能になる。
Qwiet AI(旧称ShiftLeft)は、到達可能性を考慮した分析の先駆者であり、シグナルとノイズを区別するために必要なコンテキストを提供している。Qwietテクノロジーのキーコンポーネントであるコードプロパティグラフは、データフロー、制御パス、実行など、アプリケーションの動作をモデル化。これにより、悪用可能な脆弱性を特定し、オーサリングからデリバリーまで一貫したコンテキストを提供する。
Qwietのコードプロパティグラフと、Traceableのランタイムインサイトを含むHarness AIのソフトウェアデリバリーナレッジグラフを組み合わせることで、セキュリティーチームは包括的な機能スイートを利用できる。これには、コミット時のコンテキストアウェアなコード分析、到達可能性に基づく重大度ランク付け、パイプラインにおけるポリシー適用型リスクゲート、そして各コードベースのパターンに合わせたAIによる修復機能などが含まれる。
出典:Harness
この製品の詳細については、Harness製品ページをご覧ください。
