大手ソフトウェアデリバリープラットフォームであるHarness(ハーネス)は、アプリケーションセキュリティーテスト(AST)を自社プラットフォームにネイティブに統合することで、AST分野における飛躍的な進歩を遂げている。これは、AI駆動型開発とクラウドネイティブのスケールにおける複雑さとスピードの増大に対応するための動きであり、従来のボルトオン型のセキュリティー対策では対応が困難になっている。Harnessの新しいアプローチは、本番環境コードで実際に到達可能な脆弱性に焦点を当てることで、セキュリティーテストに伴うノイズやアラート疲労を軽減することを目指している。これにより、結果の信頼性が高まるだけでなく、チームはより迅速に対応できるようになる。
Harnessの新しいASTソリューションは、AI搭載のSASTおよびSCAエンジンであるQwiet AIを搭載しており、誤検知を削減し、より実用的な結果を提供するように設計されている。あらゆる潜在的な脆弱性をフラグ付けする従来のASTソリューションとは異なり、Harnessは特許取得済みのコードプロパティグラフ(CPG)分析を使って、コード内の実行パスを通じて実際に到達可能な脆弱性のみを特定する。このアプローチによりノイズが大幅に削減され、チームは重要な問題の修正に集中できる。さらに、Harness SCAは基本的な依存関係スキャンにとどまらず、サードパーティー製ライブラリー内の到達可能な脆弱性を特定し、オープンソースリスクの詳細な可視性を提供する。
HarnessプラットフォームへのASTの統合は、セキュリティーテストの実施方法にも変化をもたらす。セキュリティーテストは、外部ゲートではなく、ソフトウェアの構築およびデリバリープロセスにネイティブに組み込まれる。このパイプラインネイティブなASTアプローチには、いくつかの利点がある。構成をテンプレート化して再利用可能にし、開発者がビルド、デプロイ、ロールバックを管理するのと同じインターフェイスで検出結果を表示することでフィードバックループを解消し、オーケストレーションをポリシー主導にできる。これにより、最新のソフトウェアデリバリーのペースに合わせて拡張可能なセキュリティーテストが可能になる。
HarnessのASTソリューションは、Qwiet AIのスキャナーの精度とHarnessプラットフォーム上での大規模な運用化を組み合わせたものだ。Security Testing Orchestration(STO)に事前定義されたセキュリティー手順と、Harness UIで直接確認できる完全な設定と結果の可視性を備えている。これにより、セキュリティーテストツールをCI/CDパイプラインに統合する際に通常必要となる複雑なセットアップと設定作業が不要になる。さらに、Harness STOは、Harness SASTとSCAに加え、50を超える統合パートナースキャナーの結果を単一のダッシュボードに統合し、全てのセキュリティー検出結果を一元的に表示する。これにより、特定のパイプラインの全ての脆弱性を確認したり、複数のパイプラインの検出結果を集約して、より広範なアプリケーションセキュリティー体制を把握したりすることが可能になる。
出典:Harness
この製品の詳細については、Harness製品ページをご覧ください。
