Bitbucket は Arnica のアプリケーション セキュリティ ツールを統合します

Bitbucket ユーザーは、Arnica のハードコードされたシークレットの軽減機能と、静的アプリケーション セキュリティ テストやソフトウェア構成分析などのコード リスク セキュリティ機能にアクセスできるようになりました。

動作ベースのアプリケーション セキュリティ プラットフォームである Arnica は、数百万の開発者が使用しているアトラシアン所有のソース コード管理ソリューションである Bitbucket にアプリケーション セキュリティ機能を統合すると発表しました。 同社によれば、この統合により、Arnica は開発者にプライベートなセキュリティ フィードバックをリアルタイムで提供し、Bitbucket ユーザーにはインラインのプル リクエスト コメントを提供する初のパイプラインレス セキュリティ ソリューションになります。 機能には、ハードコードされたシークレットの軽減とコード リスク セキュリティ スキャンが含まれます。

アプリケーション開発は、現代の多くの組織にとって重要なビジネス機能ですが、重大なセキュリティ リスクを引き起こす可能性があるものでもあります。 Radware の HI 2023 Global Threat Analysis Report によると、攻撃者がターゲットのアプリケーション層に重点を移したため、2023 年上半期の悪意のある Web アプリケーションのトランザクションは、前年同期と比較して 500% 急増しました。 企業は、データを保護し、脆弱性を制限する適切なセキュリティ プロトコルを使用してソフトウェアを開発するよう、ますますプレッシャーにさらされています。 たとえば、米国国家サイバーセキュリティ戦略では、安全でない製品についてソフトウェアプロバイダーに責任を負わせています。

Bitbucket ユーザーは、静的アプリケーション セキュリティ テスト (SAST)、コードとしてのインフラストラクチャ (IaC) セキュリティ スキャン、ソフトウェア構成分析 (SCA)、およびサードパーティ パッケージ レピュテーション スキャンを使用できるようになったと、Arnica はプレス リリースで述べています。 さらに、Arnica はワークフロー内で Bitbucket を使用する開発者を支援するための優先順位付けと製品所有権を提供し、ユーザーに開発エコシステムの 100% カバレッジ、CI/CD パイプライン前のリアルタイムのリスク検出、自動緩和機能を提供すると同社は付け加えた。 Arnica のプラットフォームは、ChatOps と Slack や Microsoft Teams などのツールの統合を通じて、コードに加えられた最近の変更に関するコンテキストを開発者に提供します。

「BitBucket ユーザーは、プッシュおよびコミット時にリアルタイムのアプリケーション セキュリティ スキャンを実装できるようになります。これが意味するのは、開発者は摩擦なく高速に開発できるということです」と、Arnica の CEO 兼創設者である Nir ​​Valtman 氏は CSO に語ります。 コードをプッシュするときに、Arnica はリスクをスキャンし、リスクが検出された場合には開発者に直接フィードバックを提供すると彼は付け加えました。 「アプリケーション セキュリティ チームは、重大度、労力、ビジネスの重要性に基づいて、いつ通知するかブロックするかを決定できます。」

によれば、たとえばシークレットの場合、開発者がコミットにシークレットをプッシュすると、シークレット漏洩の可能性を警告する Slack または Teams メッセージが届き、ワンクリックで「修正してください」ボタンが開発者に提供されます。ヴァルトマン。 「クリックすると、Arnica はコミットからのシークレットの削除と git 履歴からのそのシークレットの削除を自動化します。これは、非常に労働集約的なタスクです。」