開発とセキュリティを同期

Polarisは、業界をリードするBlack DuckのSAST、SCA、DASTエンジンにIaC解析とシークレット検出を組み合わせた、開発者中心の統合型SaaSプラットフォームです。

セキュリティを最初から開発ワークフローに組み込む

新規プロジェクトやリポジトリを自動で検出し、プルリクエスト時には高速スキャン、マージ時にはフルスキャンを実行します。結果はプルリクエスト・コメントとして返され、IDEやSCM内で確認できます。また、自動的に追跡システムに問題をプッシュします。

自動オンボーディング
SCMイベントに基づくスキャン
ポリシー駆動型ゲートを適用
自動オンボーディング
A screenshot showing how to onboard SCM repositories like GitHub, GitLab, Azure Repos, and Bitbucket in Polaris.

自動オンボーディング

数千のアプリケーションでもオンボーディングは簡単です。SCM(GitHub、GitLab、Bitbucket、Azure DevOps)の変更をPolarisが検出して新規リポジトリやブランチを自動で登録し、すべてのデータを常に最新の状態に同期します。

SCMイベントに基づくスキャン
Screenshot of Polaris showing the SCM integration set up for SCM event-based test automation.

SCMイベントに基づくスキャン

プルリクエスト時に高速スキャンを実行することで、下流リスクを軽減します。結果はプルリクエスト・コメントとして返され、SCM内で迅速にフィードバックを受けることができます。マージ時にはフルスキャンを実行し、結果をJiraやADOのインスタンスに直接流し込むことができます。

ポリシー駆動型ゲートを適用
A screenshot of adding a policy-driven rule within the Polaris Platform to enforce security standards across the SDLC.

ポリシー駆動型ゲートを適用

ポリシー違反の場合はビルドを中断してプルリクエストをブロックし、通知を送信します。これにより、SDLC全体を通じてセキュリティ標準を確実に適用できます。ポリシー違反がない限り、Polarisは完全にバックグラウンドで動作します。

Black Duckは、セキュリティ部門が定義したポリシーに合わせながら、コード・コミット、プルリクエスト、ビルドなどパイプライン上のトリガーによって自動的に動作するため、プロジェクトごとの差異、コンテキストの変化、リスク許容度に応じて、可能な限り早い段階でスキャンを実行できます。”

Michael Knight氏

Datascan社、VP of Technology

顧客価値調査レポート

ノイズを排除し、重要な問題を修正

誤検知や優先度の低い不具合ではなく、真の脅威への対策に集中できるため、修正率を上げて疲労を低減することができます。

  • リスクを1つのスコアで可視化
    A screenshot of a Polaris dashboard that surfaces threat information, including the average risk score of all apps.

    あらゆるタイプのスキャン結果を総合し、問題に対して一元的な優先順位を付けて提示します。Polarisでは、環境リスク、ビジネス・リスク、アプリケーション・リスクを含む複数のリスク・プロファイルを統合してリスクをスコア化します。

  • 真の脅威をフィルターで絞り込み
    A screenshot of a Polaris dashboard showing the top risks so developers can focus on what matters most.

    Polarisなら、95%のリスクを生み出している5%の問題に集中できます。SAST、SCA、DASTの結果を集約してインテリジェントにスコア化することにより、開発者は重要な問題だけを修正して次の作業に移ることができます。

  • 悪用可能なリスクに優先的に対処
    A screenshot demonstrating the filtering capabilities in Polaris to allow teams to filter on vulnerabilities based on their reachability.

    脆弱性を特定し、その重大度、悪用可能性、到達可能性を解析します。

組織のリスク・プロファイルに合わせたポリシーを作成

「OWASP Top 10の重大なリスクを本番環境に残さない」や「GPLコードには承認が必要」などのポリシーを定義するだけでなく、これらポリシーへの遵守を証明することもできます。Polarisは、ポリシーとレポート機能によってコンプライアンスを徹底します。

ポリシーを一元管理

1つのポリシー・エンジンをSAST、SCA、DASTで共用するため、一度設定すれば組織全体でポリシーを適用できます。

ポリシーを自動で適用

定義したポリシーに基づいて、Polarisがビルドの中断、プルリクエストの作成、Jiraへのアラート送信などを実行します。

ポリシーの遵守を数値化

どのチームがセキュリティ目標を達成しているかを追跡し、ポリシーの遵守状況をレポートで証明できます。

Black Duck AssistがAIのスピードで修正

Black Duck Assistは、問題の要約、コード解析結果、修正の提案を開発者が使用するIDE内でリアルタイムに提示します。このため、コミット前にセキュリティ上の不具合を修正できます。

詳細はこちら

業界をリードする各種エンジンが、信頼できる正確な結果を提示

Polarisなら、必要に応じた解析の深さが得られます。業界をリードするBlack DuckのSAST、SCA、およびDASTにより、独自開発コード、オープンソース・コンポーネント、クラウドベースのWebアプリケーションのどこで問題が見つかっても、正確な結果が一元的に提示されます。

コードとIaCに存在するセキュリティ上の不具合を修正

Polaris fAST Staticスキャン・エンジンによる解析は、業界をリードするBlack Duckのスキャン・エンジンと同じ信頼性と精度を備えているため、安心して高速スキャンを実行できます。

ソフトウェア・サプライチェーンのセキュリティを確保

ソフトウェアや言語の種類を問わず、オープンソース・コンポーネントを確実に特定し、Black Duck KnowledgeBase™から深い知見を得ることができます。また、包括的なSBOMの作成も簡単です。

APIとWebアプリケーションのセキュリティを検証

Polarisでは、従来型のWebアプリケーションやシングルページ・アプリケーション(SPA)、クラウドベース・サービスなどに対してセキュリティ・テストを簡単に設定して実行できます。

開発環境を選ばず、あらゆるソフトウェアをセキュアに

Polarisは主要な言語、フレームワーク、パッケージ・マネージャーをサポートしているほか、IaC、API、およびシークレットのスキャンにも対応しています。

.NET Core Logo on Black Background
Java logo
JS logo
NPM logo
Nudget logo
Apple logo
Node js logo
HealthCorp Terraform
Apache Maven Logo Vector Graphic
Kotlin Programming Language Logo Icon
CC++ logo
Go logo
Gradle logo
Python logo
Ruby logo
Git logo
VB logo
LLVMW Clang Logo
Dart logo

リスクを把握し、効果を実証する

セキュリティ・リーダーは、アプリケーションのリスクをリアルタイムかつ一元的に確認できます。また、Polarisにはセキュリティ・プログラムの価値を実証するためのツールも用意されています。

  • すべてのレポートを一元的に可視化
    A screenshot of a Polaris dashboard showing reporting from various tools in one unified view.

    チームの関心に合わせて表示をカスタマイズできます。1つのダッシュボードですべてのASTの結果を確認できるため、複数のツールから出力されたスプレッドシートを1つにまとめる手間がかかりません。

  • 詳細な指標を提供
    A screenshot of a Polaris dashboard showing in-depth metrics and insights for key stakeholders in organizations.

    Polarisには「重大リスクがゼロのアプリケーションの割合」や「どのチームがセキュリティ目標を達成しているか」といったKPIのレポート機能があり、リスク軽減効果を経営陣に実証できます。

  • チームとプロジェクトに関する知見を得る
    A screenshot of a Polaris dashboard showing project insights.

    最も高リスクなアプリケーションや、目標達成度の低いチームを即座に特定し、必要な部分だけにリソースを集中させることができます。この深い知見に基づいて対策に優先順位を付けることで、ROIを最大化できます。

Black Duck is a Leader again in the Gartner MQ for AST

8年連続でマジック・クアドラントのリーダーに認定

ブラック・ダックは、2025年Gartner®マジック・クアドラント™:アプリケーション・セキュリティ・テストの「実行能力」において最高評価を獲得しました。

 

レポートを読む

関連コンテンツ

データシート

Black Duck Polaris Platform

詳細はこちら
調査レポート

世界のDevSecOpsの現状

詳細はこちら
ホワイトペーパー

True Scale Application Security

詳細はこちら
ビデオ

Polarisの特徴を確認する

詳細はこちら