New Relicは、エンジニアリングチームがテクノロジースタック全体の脆弱性の特定や、対応の優先順位決定をすべて1か所で行うことができるようにするセキュリティの新機能「New Relic Vulnerability Management(脆弱性管理)機能」の一般提供を2月9日に開始した。同機能は、追加設定なしで、直ちに利用が可能。
脆弱性管理機能には、K2 Cyber Securityの買収によってNew Relicに追加された新しいインタラクティブアプリケーションセキュリティテスト(IAST)が含まれており、これによってエンジニアチームはコードを変更したり通常の業務を中断したりすることなく、脆弱性テストを実行できる。
同機能は、New Relicの既存の30を超えるオブザーバビリティ機能に自動的に追加され、データ、ツール、チームのサイロを排除するという同社のビジョンに沿った機能となっている。New Relicが検知した脆弱性シグナルとサードパーティのセキュリティシグナルをTelemetry Data Platform(TDP)に統合し、すべてのエンタープライズ・テレメトリデータを単一のツールでモニターし、管理することが可能で、開発、セキュリティ、および運用を担当する各チームはサイロ化されたツールを切り替えることなく、アプリケーション上のセキュリティ問題を管理することができるようになる。
同機能のおもな特徴は以下の通り。
- 追加設定不要で可視性を確保:スタック全体のリスクを評価するための継続的なランタイムソフトウェア構成分析(SCA)を可能にする、即時的かつ実用的なセキュリティ情報を追加設定することなく取得できる
- 新たな脆弱性のテスト機能(リミテッドプレビュー中):IASTを使用して、本番前の環境でシグネチャレスの脆弱性を検出。特許取得済みの決定論的手法を活用して脆弱性を特定し、その脆弱性が攻撃可能な状態かを検証する
- オープンなサードパーティ連携:埋め込み型クイックスタートを使用してNew Relicのオープンエコシステムにセキュリティデータを追加するか、New RelicのセキュリティAPIを使用して任意のカスタムソースからセキュリティデータを追加することによって、スタック全体とソフトウェアライフサイクル全体のセキュリティビューを統合する(Snyk、Lacework、GitHub Dependabot、AWS Security Hub、Aquasec Trivyなど)
- リスクの自動的な優先順位付け:サービスカタログと関連付けられたソフトウェアスタック全体のセキュリティリスクを評価する
- 新たに発見された脆弱性に関するアラートの発信:コードベースに新しい脆弱性が発見された時点でSlackおよびWebhook経由で通知する
この記事は参考になりましたか?
- この記事の著者
-
CodeZine編集部(コードジンヘンシュウブ)
CodeZineは、株式会社翔泳社が運営するソフトウェア開発者向けのWebメディアです。「デベロッパーの成長と課題解決に貢献するメディア」をコンセプトに、現場で役立つ最新情報を日々お届けします。
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
