Contrastは、主に開発者を対象とするアプリケーションのセキュリティ企業で、顧客にはLiberty Mutual InsuranceやNTT Data、AXA、Bandwidthなどがいる。同社は今日(米国時間10/21)、セキュリティの可観測性プラットホームのローンチを発表した。考え方としてはそれは、開発者がアプリケーションのセキュリティをその全ライフサイクルに亘って一枚のガラス窓から管理できるというもので、リアルタイムの分析と報告、および矯正ツールが伴う。
ContrastのCEOで会長のAlan Naumann氏はこう言う: 「コードが1行増えるたびに、それが安全でなければ企業のリスクは増える。私たちは企業がオートメーションとデジタルトランスフォーメーションのために書いているすべてのコードの、安全確保に集中している」。
これまでの数年間で、資金状態の良い同社は昨年シリーズDで6500万ドルを調達し、大量のセキュリティツールをローンチしてきた。それらは広範囲なユースケースをカバーするツールで、自動化侵入試験ツールやクラウドアプリケーションのセキュリティ、そして今ではDevOpsも対象とする。今回の新しいプラットホームは、これらすべてを結合する。
同社によるとDevOpsが、そもそもこんなプラットホームが必要になった原因であり、デベロッパーがプロダクションにプッシュするコードがかつてなく増えていることもその一因だ。そしてそんなコードの安全を確保する責任も、その契機だ。
画像クレジット: Contrast
Naumann氏の説では、従来のセキュリティサービスはコード本体とトラフィックの監視が中心だった。氏は曰く、「私たちの考えでは、今ではアプリケーションのレベルでも、かつてITのインフラストラクチャで用いられていた可観測性の原則が適用される。具体的には、私たちはコードの計装を行い、コードが開発されているときにセキュリティのセンサーをコード中に織り込む。そしてそれによって脆弱性を探し、稼働中のコードを観測する。私たちの見方では、世界でもっとも複雑なシステムは、航空機であれ宇宙船であれITのインフラストラクチャであれ、計装されているときが最良である。コードについても、同じことが言える。つまり弊社のやり方が新しいのは、コードに計装を適用していること。それにより、セキュリティの脆弱性を観測していることだ」。
今度の新しいプラットホームでContrastは、既存のシステムからの情報を単一のダッシュボードに集める。そしてContrastはコードをその全ライフサイクルにわたって観測するが、デベロッパーがCI/CDのパイプラインでコードをチェックしているときにも必ず脆弱性をスキャンする。Jenkinsのような標準ツールが使われていることが多いので、それができる。なお、そのサービスはオープンソースのライブラリの脆弱性もスキャンする。Contrastの新しいプラットホームがデプロイされたらそれは、アプリケーションが接続しているさまざまなAPIやシステムを通るデータから目を離さず、そこにあるセキュリティイシューの潜在的可能性もスキャンする。
このプラットホームは、AWS、Azure、Google Cloudなど大手のクラウドプロバイダーのすべてと、Java、Python、.NET、そしてRubyなど主要な言語とフレームワークのすべてをサポートしている。
画像クレジット: Contrast
画像クレジット: Contrast