Hi [[ session.user.profile.firstName ]]

ソフトウェア開発におけるOSSライセンス管理のベストプラクティス

現在はオープンソース・ソフトウェア(OSS)の活用を抜きで考えることができないくらい、ソフトウェア開発においてOSS利用が進んでいます。あまりに当たり前のように使われるようになったが故に、OSS利用においては無視できないライセンスやセキュリティにまつわるリスクについて、適正に管理ができていない組織も増えています。

現在、自社の製品やシステムに使われているOSS活用のライセンス条件を把握していますか?ライセンス違反は最悪は訴訟を招くリスクすらあります。適切に管理されていないOSSによって窮地に陥ることがないよう、OSSを正しく利用、管理をしていくことが重要です。

本日のセミナーでは、適切にOSSを管理するためにはどのような組織やプロセスが必要かを、主にライセンス管理にフォーカスを当ててお話します。またBlack Duckの機能・特長と効果的な利用方法を紹介します。

主な内容
- OSS管理の課題
- 日本のOSS管理の現状
- OSSとそのリスクを効率的に管理するBlack Duckの特長
- ISO/IEC 5230:2020 OpenChain
- OSS管理のベストプラクティス
- Q&A
Recorded Jun 16 2021 61 mins
Your place is confirmed,
we'll send you email reminders
Presented by
日本シノプシス合同会社 ソフトウェア インテグリティ グループ シニア セールス エンジニア 吉井雅人
Presentation preview: ソフトウェア開発におけるOSSライセンス管理のベストプラクティス
  • Channel
  • Channel profile
  • DevSecOpsの定着を妨げる課題とそれを解決するソリューションのご紹介 Sep 1 2021 7:00 am UTC 75 mins
    日本シノプシス合同会社 ソフトウェア インテグリティ グループ シニア セールス エンジニア 勝岡 宣彦
    DevSecOpsに取り組む中で、以下のような悩み・課題が上がっていませんか?

    ・セキュリティ・テストが開発プロセスを遅らせてしまっている
    ・開発とテスト工程でセキュリティ・テストに対するアプローチが異なっている
    ・プロジェクトの中に多くのアプリケーションやサービスが含まれているが全体の品質・セキュリティ状態が見えない
    ・多くのAppSecツールを導入しているが一元管理できていない
    ・セキュリティ・チームが全体を把握できていない

    Code DXを利用することで、プロジェクト全体・プロジェクト内の個別アプリ・ビジネスレベルそれぞれでのセキュリティ・リスクを可視化でき、開発のスピードを落とすことなくセキュリティ・チームがリスク分析を行い、対策実行に繋げることができます。
    本セミナーではDevSecOpsの課題を整理しつつ、デモを交えながらCode Dxプラットフォームのご紹介を行います。

    主な内容
    - DevSecOpsの課題の整理とCodeDxのご紹介
    - AppSecツールコネクターデモ(SAST, SCA, ISATツールの解析結果の取り込み)
    - 脆弱性の優先順位付けデモ(CWE Top25, OWASP Top10, PCI-DSS、等)
    - Q&A
  • ソフトウェア・サプライチェーンにおけるOSSのリスク管理 Aug 25 2021 7:00 am UTC 75 mins
    日本シノプシス合同会社 ソフトウェア インテグリティ グループ シニア セールス エンジニア 吉井雅人
    オープンソース・ソフトウェア(OSS)の活用なしにソフトウェアの開発は不可能と言って良いくらい、現在ではOSSの利用が進んでいます。サプライチェーンにおいてもOSSのリスク管理は重要となっており、それを管理する手段としてSBOM(ソフトウェア部品表)が注目されています。2021年5月に署名されたサイバーセキュリティを強化する大統領令でもSBOMについて言及されています。

    本セミナーでは、OSSの脆弱性やサプライチェーン攻撃にどのようなリスクがあるのか、またこういったリスクを適切に管理するためにどのような対策が必要なのかをお話します。また、SPDXなどSBOMをめぐる国際動向や、Black Duckを用いて効率的にOSSやSBOMの管理を行う方法についてもご紹介します。

    主な内容
    - OSSの利用の広がりと脆弱性
    - サプライチェーン攻撃の例と管理の課題
    - SBOMをめぐる国際動向
    - Black Duckを活用したSBOM/OSS管理手法のベストプラクティス
    - Q&A
  • あらゆるモノがネットワークに繋がる時代 ―品質・セキュリティを開発プロセスに組み込もう Aug 18 2021 7:00 am UTC 47 mins
    日本シノプシス合同会社 ソフトウェア・インテグリティ・グループ シニア・セールス・ エンジニア 勝岡 宣彦
    ※こちらのセミナーは2021年7月にET & IoT West 2021 にて発表された同タイトルのものと同じ内容のものとなります。ご質問がございましたら、Ask a questionのウィンドウまたはAttachmentsタブの中のお問合せフォームのリンクからお送りください。担当の者より回答させていただきます。

    あなたが開発に携わっている組み込み・IoTデバイスはスタンドアローンで動いていますか?おそらく他の機器とイーサネット、WiFi、Bluetooth等で繋がり、サービスやシステム全体の中の重要な一部として動いているはずです。そのデバイスが脆弱であるが故にサービス全体を脆弱にしてしまう恐れがあります。それを防ぐために、米国CPSQレポートを参考にソフトウェアの低品質によるコストと技術的負債とビジネスへの影響を確認し、従来の品質ベースの開発にセキュリティも組み込み、今後益々高まる品質およびセキュリティ要件に対応できる開発プロセス(DevQualOps/DevSecOps)を考えてみましょう。

    主な内容
    - ソフトウェアの品質とセキュリティについて
    - 低品質ソフトウェアが何をもたらすのか?
    - シノプシスの品質・セキュリティソリューション
    - まとめ
  • オープンソース管理のトレンド、ソフトウェア部品表(SBOM)の国際標準化動向 Recorded: Aug 4 2021 42 mins
    日本シノプシス合同会社 ソフトウェア インテグリティ グループ シニア プロダクト マーケティング マネージャ 松岡正人
    ※こちらのセミナーは2021年7月にET & IoT West 2021 にて発表された同タイトルのものと同じ内容のものとなります。ご質問がございましたら、Ask a questionのウィンドウまたはAttachmentsタブの中のお問合せフォームのリンクからお送りください。担当の者より回答させていただきます。

    自動車業界や医療機器業界などを中心にオープンソース・ソフトウェア(OSS)と脆弱性などのリスク管理のためにソフトウェア部品表(SBOM)と呼ばれる考え方に着目した新しい国際標準が立ち上がりつつあります。OSSが内包するリスクを管理するためのツールとしてSCA(ソフトウェア・コンポジション解析)と呼ばれるツールが登場して久しい中、産業界では情報の流通性や互換性を高めるための取り組みとして注目を集めています。本セッションでは、OSS管理のための取り組みとその課題について考察します。

    主な内容
    ・なぜSBOMが必要とされるのか
    ・SBOMは、ソフトウェア・サプライチェーンとその安全のためにどのように役立つのか
    ・ソフトウェア・サプライチェーンのセキュリティがなぜ重要なのか
    ・Q&A
  • 続、はじめてのAppSec(アプリケーション・セキュリティ)。"ソフトウェア・テスト"との違い Recorded: Jul 28 2021 51 mins
    日本シノプシス合同会社 ソフトウェア インテグリティ グループ シニアプロダクトマーケティングマネージャ 松岡 正人
    ※ 本セミナーは2020年10月に開催された回の再放送となります。

    AppSec (アプリケーション・セキュリティ) を実現するには「セキュリティ・テスト」が欠かせません。
    さて、シノプシスが得意とする「セキュリティ・テスト」は、一般的な「ソフトウェア・テスト」とどのように違うのでしょうか。
    分業の進んでいる組織やプロジェクトによっては、開発者はテストはテスターが行うものと考えてしまう場合も少なくないと思います。
    しかし、趣味や仕事でプログラムコードを書き始めたばかりの頃を思い返してみれば、自分で書いたコードのテストも行なっていたのではないでしょうか。
    それは、コードレビューなどの机上での作業や、デバッガーを使って予期せぬ振る舞いの原因を探るためのデバッグ作業を少し楽にするための工夫だったかもしれません。
    本セッションでは、ソフトウェア・テストの概要を紐解き、アプリケーション・セキュリティとの関連を確認しつつ、同じ「テスト」でありながら、「セキュリティ・テスト」には何のためにどのような種類があり、それらはソフトウェア開発の過程でどのように実施するのが良いかについて基本的な考え方を整理します。

    主な内容
    - アプリケーション・セキュリティのためのセキュリティ・テスト
    - セキュリティ・テストとソフトウェア・テストはどう違うのか?
    - 開発者とテスターとQAとセキュリティ技術者の関係
    - 組織やプロジェクトに即して考えてみよう
    - Q&A
  • はじめてのAppSec(アプリケーション・セキュリティ)とDevSecOps、何をしなくてはいけないのか、メリットは何か? Recorded: Jul 21 2021 64 mins
    日本シノプシス合同会社 ソフトウェア インテグリティ グループ シニアプロダクトマーケティングマネージャ 松岡正人
    ※本セミナーは2020年8月に開催した回の再放送となります。

    アプリケーションはコードを書けばできあがりますが、セキュリティ対策とセキュアな(安全な)コードとを組み合わせることで、サイバーインシデントのリスクを低減し、ビジネスへの影響を抑えることができるようになります。では、いままでと何を変えればよいのでしょうか?
    昔ながらの開発やテストではカバーできないセキュリティ上の課題や、どのようにしてツールを利用する様にしていくのかについて、初歩的なヒントや方法について議論します。

    主な内容
    - 今どきのアプリケーションの要素や構造の振り返りとリスクの理解
    - DevSecOpsの目的と実現のためにクリアすべき課題の整理
    - ツールを活用してどの様に開発プロセスをアップデートすべきか
    - Q&A
  • オートモーティブ・サイバーセキュリティ・プロセスに統合したファジング・テストの活用法 Recorded: Jul 14 2021 41 mins
    ZF Friedrichshafen AG 自動運転ITセキュリティ エンジニア ニコ・フィンゼンツ、日本シノプシス合同会社 ソフトウェア インテグリティ グループ シニアソリューションアーキテクト 岡デニス健五
    自動車のシステムはますます複雑化し、相互に接続されているため、サイバー攻撃にさらされやすくなっています。脆弱性を発見し修正するために、最新のサイバーセキュリティ・ツールとプロセスが不可欠です。ファジング・テストは開発段階の終盤にのみ適用するのではなく、開発プロセスに組み込んでテストを自動化することにより、さらにセキュアなエンジニアリング・プロセスを確立することができます。

    本セッションでは、ZF社がファジング・テストをどのようにサイバーセキュリティ・プロセスに組み込むことができるのか、具体的な手順や活動、テスト環境の例などをご紹介します。また、シノプシスがユーザーの開発環境とプロセスにツールを統合するためにどのようなお手伝いができるのかについても、ぜひこちらでご確認ください。


    主な内容
    - 従来の自動車のサイバーセキュリティ・エンジニアリング・プロセス
    - ファジング・テストによるセキュリティの向上
    - ファジング・テスト統合後の進化したプロセス
    - Q&A

    ※本セッションは日本語で行います。
  • PCI DSS準拠に必要な脆弱性対応のベストプラクティス Recorded: Jul 7 2021 48 mins
    日本シノプシス合同会社 ソフトウェア インテグリティ グループ セールス・エンジニア 岡田 祐喜
    PCI DSSは、クレジットカード会員の個人情報を保護するための情報セキュリティ基準として策定され、すでに多くのクレジットカード関連のシステムが準拠しています。
    しかしながら、準拠したシステムを開発するためには、設計、開発、運用などの各フェーズで対応が必要となり、特に開発フェーズにおいては各種脆弱性の検知のためのテストとその修正が大きな負担となっているのが実情ではないでしょうか。
    本日のセミナーでは、開発ライフサイクルの中で適切なタイミングにPCI DSS準拠のために必要なテストを組込み、開発・テストをより効率的に実施するためのソリューションをご紹介いたします。

    主な内容
    - PCI DSSの概要
    - 開発フェーズにおけるPCI DSS準拠への課題
    - 改善のためのソリューション活用方法
    - Q&A
  • 動的テストもシフトレフト! 早めのセキュリティテストで堅牢なアプリケーション開発 Recorded: Jun 30 2021 47 mins
    日本シノプシス合同会社 ソフトウェア・インテグリティ・グループ セールス・ エンジニア 華山 達也
    近年CI/CDやDevOps等の開発プロセスの効率化が求められていますが、Webアプリケーション診断等の動的テストを実行するには以下の課題があります。

    - 開発プロセスの後段に実施されるため開発者へのフィードバックが遅い
    - 近年のアプリケーションの複雑化に伴い、原因特定および修正に時間を要する

    インタラクティブ・アプリケーション・セキュリティ・テスト(IAST)ではこれらの課題を解決しつつ、効率的に実行時の脆弱性検出が可能となります。
    本Webinarでは上記の課題に焦点を当てつつ、SynopsysのIASTソリューションであるSeekerをご紹介します。

    主な内容
    • 動的テストの課題
    • IASTの概要と特徴
    • Seekerの説明と自動テストのデモンストレーション
    • Q&A
  • ISO/SAE FDIS 21434公開記念セミナー -ISO国際規格化目前!車載サイバーセキュリティ規格適用時のポイントとツールによる効率化ー Recorded: Jun 23 2021 82 mins
    SGSジャパン株式会社 C&P Connectivity Functional Safety プロジェクトマネージャ 河野 喜一様/日本シノプシス合同会社 プリンシパル・オートモーティブ・セキュリティ・ストラテジスト 岡デニス健五
    2021年5月に車載サイバーセキュリティ規格ISO/SAE FDIS 21434が公開されたことを記念し、SGSジャパン株式会社及び日本シノプシス合同会社による共催セミナーを開催いたします。車載システムの開発に携わる方を対象に、車載サーバーセキュリティを高め、よりセキュアな自動車のソフトウェアを開発するために知っておくべきこと、準拠すべき業界標準の規格について、詳しくご説明いたします。

    セッション1:「車載サイバーセキュリティ(UN-R155/156・ISO/SAE 21434)適用の勘所」(16:00-16:30)
    2021年5月に、車載サイバーセキュリティ規格ISO/SAE FDIS 21434が公開されました。ISO/SAE 21434は、国連欧州経済委員会(UNECE)における車載サイバーセキュリティ法規UN-R155から参照されており、車載システムの開発に必須となる規格です。本セミナーでは、SGSジャパンより、ISO/SAE FDIS 21434の概要をご紹介するとともに、UN-R155/156・ISO/SAE FDIS 21434適用時のポイントについてご紹介いたします。
    ・車載サイバーセキュリティ事件例
    ・車載サイバーセキュリティ業界動向(法規・標準規格・認証)
    ・ISO/SAE FDIS 21434概要
    ・車載サイバーセキュリティプロセス適用時のポイント

    セッション2:「ISO/SAE FDIS 21434で求められるセキュアなソフトウェア開発」

    車載システムの開発に関連するISO/SAE FDIS 21434の要件は多数あります。特にセキュアな開発プロセスに応じてリスク管理、セキュアソフトウェア開発、OSS管理、ファジングテスト、セキュリティ評価、セキュリティートレーニングの活動があります。本セミナーでは、日本シノプシスより、ISO/SAE FDIS 21434に基づいたプロジェクトプロセスに関連するセキュリティソリューションについてご紹介いたします。
    ・車載システムの脆弱性事例の解説
    ・UN R155とISO/SAE FDIS 21434に関連サイバーセキュリティ活動
    ・車載システムのセキュアな開発プロセス
    ・ISO/SAE FDIS 21434の開発要件に対するソリューションの紹介

    Q&A(17:00-17:15)
  • ソフトウェア開発におけるOSSライセンス管理のベストプラクティス Recorded: Jun 16 2021 61 mins
    日本シノプシス合同会社 ソフトウェア インテグリティ グループ シニア セールス エンジニア 吉井雅人
    現在はオープンソース・ソフトウェア(OSS)の活用を抜きで考えることができないくらい、ソフトウェア開発においてOSS利用が進んでいます。あまりに当たり前のように使われるようになったが故に、OSS利用においては無視できないライセンスやセキュリティにまつわるリスクについて、適正に管理ができていない組織も増えています。

    現在、自社の製品やシステムに使われているOSS活用のライセンス条件を把握していますか?ライセンス違反は最悪は訴訟を招くリスクすらあります。適切に管理されていないOSSによって窮地に陥ることがないよう、OSSを正しく利用、管理をしていくことが重要です。

    本日のセミナーでは、適切にOSSを管理するためにはどのような組織やプロセスが必要かを、主にライセンス管理にフォーカスを当ててお話します。またBlack Duckの機能・特長と効果的な利用方法を紹介します。

    主な内容
    - OSS管理の課題
    - 日本のOSS管理の現状
    - OSSとそのリスクを効率的に管理するBlack Duckの特長
    - ISO/IEC 5230:2020 OpenChain
    - OSS管理のベストプラクティス
    - Q&A
  • 商用ソフトウェア資産に含まれるOSSとそのリスクの現状 - 2021年版レポートに基づく分析と提言 Recorded: Jun 9 2021 39 mins
    日本シノプシス合同会社 ソフトウェア インテグリティ グループ シニアセールスエンジニア 吉井雅人
    シノプシスのオープンソース・セキュリティ&リスク分析レポート2021年版は、
    世界中のエンタープライズ企業、医療、金融、通信インフラ等の17業種、1,500を超える商用のコードベースに含まれるOSSを監査した結果から得られたOSSの利用状況とリスクの現状と分析をまとめたレポートの最新版です。
    ソフトウェア開発や商用ソフトウェアでのOSS利用は急速に拡大しており、保有資産に含まれるOSSとリスクの把握は益々大きな課題になっています。
    最新版レポートをベースにOSS利用とリスクの現状の整理、管理の方法と課題、シノプシスが提案する確実で効率的な管理を実施する方法を紹介するセミナーを実施します。

    主な内容
    - 今多く使われるOSSの傾向と、脆弱性やライセンスのリスクの現状解説
    - OSSとそのリスクを適切に管理するための手法と課題の整理
    - シノプシスが提案する確実・効率的にOSSを管理する方法
    - Q&A
  • 組み込み機器がクラウドと繋がることの課題と基本的な対策 Recorded: Jun 2 2021 62 mins
    日本シノプシス合同会社 ソフトウェア インテグリティ グループ シニアプロダクトマーケティングマネージャ 松岡正人、シニアセキュリティスペシャリスト 中野哲也
    ※本セミナーは2020年6月に開催した同タイトルの再放送となります。ご質問がございましたら、Attachmentsタブの中のお問合せフォームのリンクからお送りください。担当の者より回答させていただきます。

    この数年、ネットワークに接続したパソコンやサーバーだけでなく、事務機器や医療機器などでのサイバーセキュリティ事故についてのニュースが報道されるようになってきました。ネットワークに繋がる組み込み機器の代表的な構成とその変遷、機器だけではなく関連するサービスを含めたビジネスモデルの変化に伴い、セキュリティリスクが増大しています。
    開発者だけでなく経営者の観点からも見逃せない気になるデータを参照しながら、安全や品質対策の観点とセキュリティ対策の観点とのギャップを整理しつつ、ギャップを埋めるために有用なソフトウェアやシステムを検証するための手法や技術、検証の実践方法について議論します。

    主な内容
    - 組み込み機器の構成や提供サービスの変遷とセキュリティリスクの整理
    - 安全でセキュアな製品の開発と検証に有用な手法や技術とその実践方法
    - シノプシスが提供するセキュアな製品開発のためのツールと利用例
    - Q&A
  • 実践・脅威モデリング Recorded: May 26 2021 57 mins
    日本シノプシス合同会社 ソフトウェア インテグリティ グループ セキュリティコンサルティング マネージングプリンシパル 大森健史
    ※本セミナーは2020年11月に開催した同タイトルの再放送版となります。ご質問がございましたら、Attachmentsタブの中のお問合せフォームのリンクからお送りください。担当の者より回答させていただきます。

    脅威モデリングはソフトウェアとシステムおよびその稼働環境から適用可能な脅威を特定し、その脅威の発現可能性や影響度合いからセキュリティ要件を特定し、どの様なセキュリティ・テストが必要かを判断するセキュリティ施策の一つです。

    脅威モデリングをソフトウェア開発の早期段階で実施することで、ソフトウェアへのセキュリティの組み込みをより確実なものにすることができます。また、すでに開発が進んでいるソフトウェアやリリース済みのソフトウェアに対しての脅威モデリングは、どの様な追加のセキュリティ施策とテストが必要かを判断する手助けにもなります。

    シノプシスはプロフェッショナル・サービスのメニューとして脅威モデリングの実施サービスを提供しており、多くのお客様環境に対する経験から日々脅威モデリングを進化させています。そこで、シノプシスが提供する脅威モデリングの実践的な手法を紹介するセミナーを実施いたします。

    主な内容
    - 脅威モデリングの概要とメリットの整理
    - シノプシスが実施している脅威モデリングの手法
    - シノプシスが提供するサービス
    - Q&A
  • はじめてのSBOM(ソフトウェア部品表)、サプライチェーンで開発される複雑なソフトウェアのリスクと管理 Recorded: May 19 2021 78 mins
    日本シノプシス合同会社 ソフトウェア インテグリティ グループ シニアプロダクトマーケティングマネージャ 松岡正人
    ※こちらのセミナーは昨年8月に開催した同タイトルの再放送となります。ご質問がございましたら、Attachmentsタブの中のお問合せフォームのリンクからお送りください。担当の者より回答させていただきます。

    現代のアプリケーションはさまざまなソフトウェア群によって構成され、運用されます。ソフトウェア群をコンポーネントと呼び、それぞれのコンポーネントは、オープンソースで開発されたものや、市販のソフトウェア、ドライバー、フレームワーク、自社で開発したコード、サードパーティが書いたコードなど複雑なサプライチェーンを経て構成されています。このセッションでは、それらをSBOMと呼ばれる部品表に展開して管理するための基本的な考え方について議論します。

    - ソフトウェアの構造とサプライチェーン
    - 自社開発のコード、調達したコード、OSSなどそれぞれのリスクと対処
    - SBOMの基本的な考え方
    - Q&A
  • APIセキュリティの課題を考える ー取るべき対策と改善のポイント Recorded: May 12 2021 50 mins
    日本シノプシス合同会社 ソフトウェア インテグリティ グループ セキュリティコンサルティング マネージングプリンシパル 大森健史
    APIは古い技術です。すべてのアプリケーションはカーネルやSDK、暗号化ライブラリ等のAPIを呼び出しています。では、なぜ今あらためて「APIセキュリティ」を考える必要があるのでしょうか?
    今日話題になっているAPIはネットワーク・ベースの(あるいはWebベースの)APIです。これらのネットワークに公開されたAPIはその性質上、ソフトウェアコンポーネント間の相互作用と情報の自由な流れを可能にします。安全でないAPIエンドポイントの公開または使用に起因するセキュリティ侵害が何件も報告されています。本webセミナーでは、APIベースのアプリケーションを保護するための準備をどのように改善できるかを検証します。

    主な内容:
    ・伝統的なAPIとネットワーク・ベースAPIの違い
    ・ネットワーク・ベースAPIに起因するセキュリティ侵害事例について
    ・「APIセキュリティ」とは?
    ・「APIセキュリティ」の実装
  • コネクティッドカーと自動運転車のソフトウェア・セキュリティ Recorded: Apr 21 2021 56 mins
    日本シノプシス合同会社 ソフトウェア インテグリティ グループ シニアソリューションアーキテクト 岡デニス健五
    新しい先端技術により、コネクティッドカーや自動運転車向けの新しいソリューションとサービスの導入が可能になっています。自動運転機能やシームレスなユーザーエクスペリエンスなどのこれらの新しいソリューションとサービスは、安全性、快適性、効率の向上などのさまざまなメリットをもたらす一方で、新しいセキュリティ・リスクももたらします。たとえば、無線通信インターフェースは車両の攻撃対象を増やし、大規模で複雑なソフトウェアを備えた高度なシステムの開発は、バグや脆弱性のリスクを高めます。自動車業界がこれらの新しいソリューションとサービスを提供するには、より多くのソフトウェアが必要であることは明らかです。
    本講演では、ソフトウェア・セキュリティに焦点を当て、車両側とインフラ側の両方を対象にコネクティッドカーや自動運転車に共通する脅威と課題について説明します。次に、これらの脅威を理解した上で、自動車メーカーがソフトウェア開発ライフサイクルの早い段階でバグや脆弱性を発見し、修正できるようにするための、セキュアなソフトウェア開発のための関連ソリューションについて説明します。

    主な内容
    • 車両側に対する脅威
    • インフラ側に対する脅威
    • 車両側に対するソフトウェア・セキュリティ・ソリューション
    • インフラ側に対するソフトウェア・セキュリティ・ソリューション
    • Q&A
  • 最新のコーディング規約解析テクニック Recorded: Apr 14 2021 49 mins
    日本シノプシス合同会社 ソフトウェア インテグリティ グループ シニアセールスエンジニア 徳永章、藤本豊己
    各種セキュリティ基準に従うためにMISRA や CERT、AUTOSAR のコーディング規約への対応が必要になります。また、レガシーコード、派生開発したコード、OSS、新規開発するコードで対応内容は変わってきます。
    そこで、各種規約の説明とどうやって優先順位をつけていくか、シノプシスのソリューションを例に解説します。

    主な内容
    - ISO26262やIVDR等の基準、AUTOSARやCERT等各種コーディング規約やコードの種別等による課題の整理
    - 静的解析ツールCoverityのCompliance Filtering機能の概要と規約遵守のアプローチ
    - 優先順位付けなど現実に即した運用
    - デモ
    - Q&A
  • 米国CPSQレポートから見る、ソフトウェアの低品質によるコストと技術的負債とビジネスへの影響 ― DevSecOpsとDevQualOps、シフトレフトと自動化 Recorded: Apr 7 2021 61 mins
    日本シノプシス合同会社 ソフトウェア インテグリティ グループ シニアプロダクトマーケティングマネージャ 松岡正人
    米国はIT先進国と思われていますが、ソフトウェア開発の課題は万国共通であることがCISQ(Consortium for Information & Software Quality™)のレポート"The Cost of Poor Software Quality in the U.S.: A 2020 Report"によって明らかになりました。
    米国で低品質なソフトウェアが生まれる背景を様々なデータを駆使して可視化し、経営者が理解しやすい「コスト」という形式で解説しています。また、このレポートでは技術的側面からのリスクや、将来に影響のある隠れたリスクを「技術的負債」として投げかけており、レポートを読み解くことで、皆様の組織でも低品質なソフトウェアによるコストとビジネス上のリスクを経営が理解することでこれらの課題を回避する糧になるはずです。

    主な内容
    - 米国CPSQレポートから学ぶ失敗事例とそのコスト換算
    - 技術トレンドのメリットとリスク
    - リスクを扱うためのシフトレフト
    - Q&A
  • クラウドを利用するIoT機器やアプリケーション開発のセキュリティの課題と対策― IoTやクラウド時代の温故知新 Recorded: Mar 31 2021 58 mins
    日本シノプシス合同会社 ソフトウェア インテグリティ グループ シニアプロダクトマーケティングマネージャ 松岡正人
    * 本セミナーは3/10(水)開催の同名セミナーの延期再開分となります。

    Webが登場した歴史を紐解くとWeb 2.0の進化がリスクを孕んでいたことが見えてくる。
    2.0の登場した2000年代からIoTのインフラに利用されるクラウドに進化する過程を眺めながら、今話題のゼロトラストによってよりセキュアな運用環境を実現するための取り組みが始まったばかりのヘテロなインターネット利用型の組み込み開発において、性能とセキュリティのトレードオフ、クラウドで提供されるインターネット上のサービスを利用する際に考慮すべき点、クラウド上にサービスやアプリケーションを展開する場合の留意点などを、OWASPやNISTなどのガイドラインを踏まえて概論する。

    主な内容
    - サイバー・インシデントの変化と組み込み機器のサイバー・セキュリティ
    - クラウド、ネットワーク接続のメリットと課題
    - 品質の向上とリスクの低減のための措置
    - Q&A
高品質でセキュアなソフトウェア開発をより迅速に
シノプシスのソフトウェア インテグリティ グループは、企業の安全で高品質なソフトウェアの構築と、リスクを最小限にしつつスピードと生産性の最大化させることに貢献します。シノプシスは、アプリケーション・セキュリティのリーダーであり、静的解析、ソフトウェア・コンポジション解析、動的解析ソリューションを提供しており、独自のコード、オープンソース・コンポーネント、およびアプリケーションの動作における脆弱性や不具合を迅速に見つけて修正するためのツール、ペネトレーションテストや静的解析、動的診断サービス、セキュア開発のeラーニング提供、コンサルティングなど総合的なサービスとツールを提供しています。

Embed in website or blog

Successfully added emails: 0
Remove all
  • Title: ソフトウェア開発におけるOSSライセンス管理のベストプラクティス
  • Live at: Jun 16 2021 7:00 am
  • Presented by: 日本シノプシス合同会社 ソフトウェア インテグリティ グループ シニア セールス エンジニア 吉井雅人
  • From:
Your email has been sent.
or close