CC不要

ソフトウェア構成分析（SCA）

オープンソース依存の脆弱性の発見と修正

セキュリティ問題、マルウェア、古いライブラリ、ライセンスリスクを検出します。偽陽性の自動判定、明確な修正、SBOMの生成を数秒で実行します。

他のスキャナーよりも多くの脆弱性を発見
オートトライエイジの偽陽性
明確な改善アドバイスと自動修正

無料で始める

CC不要

デモを予約する

データは共有されない - 読み取り専用アクセス - CC不要

世界25,000以上の組織から選ばれる

包括的な補償と簡単なセットアップ

すべての言語に対応

ほとんどのSCAツールは言語サポートが限られています。Aikido そのようなギャップを修正します。
_{(例えば、Aikido .csprojファイルをすぐにサポートします)。}

言語サポートの確認

Gitシステムとの統合

Aikido あらゆるGitシステムで動作し、ローカルスキャナーも提供します。
_{(GitHub, GitLab, Bitbucket, Azure Devops, GitLab Self Managed,...)}

gitシステムのサポートを確認する

型にとらわれずに働く

多くのSCAツールはセットアップやメンテナンスが難しい。Aikido プラグアンドプレイです。
_{‍(ロックファイルがないかどうかまで表示されます。)}

特徴

依存関係のスキャン機能

オートフィックス

Aikido Autofix は、Aikidoがあなたのプロジェクトのサードパーティの依存関係の脆弱性を修正するために使用できるツールです。これは、パッケージの更新や他の手段によって脆弱性を取り除くプルリクエストを作成することによって行われます。場合によっては、Aikido Autofixは1つの問題だけでなく、脆弱性のクラス全体を削除することができます。

さらに詳しく

標準的なデータベースを超えて

Aikido 、標準的なデータベース-NVDとGitHub Advisory Database (GHSA)-をチェックしますが、さらに踏み込みます。Aikido Intelは、サイレントパッチが適用された脆弱性やCVEがない脆弱性を発見します。

リーチャビリティ分析

Aikidoはあなたが脆弱な機能を使用しているかどうかをチェックする。もしそうでなければ、それは明らかに誤検知であり、自動的にトリアージされる。

さらに詳しく

マルウェア検出

npmエコシステムは、そのオープンな性質から、悪意のあるパッケージが公開される可能性があります。Aikido 、JavaScriptファイルやnpmパッケージ内に埋め込まれた悪意のあるコードを特定します。Powered byAikido Intel.

_{バックドア、トロイの木馬、キーロガー、XSS、クリプトジャッキングスクリプトなどをスキャン}します。

さらに詳しく

SBOMの作成

セキュリティ監査では通常、SBOMの提出が求められます。Aikidoは、このリストを事前に分析し、必要なときに生成することを容易にする。また、コンテナのSBOMを作成することもできる。AikidoはcycloneDXとSPDXをサポートしています。

実用的なアドバイス

CVEを調査する必要はありません。AikidoはTL;DRを提供し、あなたがどのような影響を受け、どのように最も簡単にセキュリティ問題を修正し、あるいは自動修正することができるかを教えてくれます。

さらに詳しく

インスタント重複排除

Aikido 、重複する脆弱性を1つの問題として報告します。アラートで溢れかえる他のスキャナーとは異なり、Aikido 既知の修正が存在する場合にのみ通知します。

コンプライアンスを容易に

Aikido 、技術的な脆弱性管理コントロールを自動化し、SOC 2とISO 27001のコンプライアンスをより簡単にします。

簡単なクエリでクラウド環境全体を検索し、リスク、設定ミス、エクスポージャを即座に見つけることができます。

さらに詳しく

解説ビデオ

セキュリティ・ツールに不満がありますか？

レビュー

「AikidoはISOとSOC2の認証取得に役立つ統合された自動レポーティング・ソリューションのおかげで、御社のセキュリティを御社の強みの1つにします。」

ファブリス・G

Kadonation代表取締役

よくあるご質問

もっと探索する

ドキュメンテーション

トラストセンター

インテグレーション

ソフトウェア構成分析（SCA）とは何か？

ソフトウェア構成分析（Software Composition Analysis: SCA）は、基本的にオープンソースの依存関係をチェックするものだ。プロジェクトに取り込むライブラリやパッケージをスキャンし、既知のオープンソースの脆弱性、ライセンスの地雷、その他のリスクにフラグを立てます。オープンソースを使用している場合（ネタバレ）、1つの脆弱な依存関係がアプリケーション全体のセキュリティを危険にさらす可能性があるため、気にする必要があります。SCAは、あなたのプロジェクトのサードパーティのコードが、隠れたバックドアや時限爆弾でないことを保証するのに役立ちます。

AikidoSCAスキャナーは、実際にどのようにしてオープンソースの依存関係の脆弱性を見つけるのでしょうか？

これは、依存関係の自動探偵のように機能します。AikidoSCAスキャナーは、あなたが使用しているすべてのライブラリとバージョン（依存関係ツリー）を識別し、既知の脆弱性（CVE）とオープンソースの脅威情報の常に更新されるデータベースとそれぞれを相互参照します。わかりやすく言うと、既知のセキュリティホールがあるライブラリや、悪意のあるパッケージを使用している場合、Aikido それを発見し、警告を発します。これは、脆弱性フィードを利用した包括的な依存関係スキャンで、問題を素早くキャッチします。

AikidoSCAチェックをCI/CDパイプラインに統合して、依存性スキャンを自動化することはできますか？

AikidoSCAはCI/CDパイプラインにぴったりです。GitHub Actions、GitLab CI、Jenkins、CircleCI、あるいはあなたが使っているどんなものとも連携させることができ、ビルドやプルリクエストのたびに依存関係のスキャンが自動的に実行されます。これは、新しい脆弱な依存関係が本番環境に入る前に検出され、報告されることを意味する。要するに、自動化されたオープンソースのセキュリティチェックは、あなたの開発ワークフローの組み込みの一部となる。

それとも、AikidoSCAはノイズや無関係なアラートをカットしてくれるのだろうか？

AikidoSCAは、無意味なアラートに溺れることがないように、ノイズをカットするように設計されています。無関係な発見（プロジェクトに実際に影響を与えない問題など）を自動分類してフィルタリングし、対処可能な真の脆弱性だけを残します。言い換えれば、ノイズのないシグナルを得ることができ、結果を詰まらせる偽陽性がはるかに少なくなります。理論的な警告の巨大なリストではなく、修正が必要な実際の脆弱な依存関係に焦点を当てる。

AikidoSCAは問題を報告するだけなのでしょうか、それとも脆弱な依存関係を自動的に修正してくれるのでしょうか？

Aikido 、脆弱な依存関係についてあなたに警告するだけではありません。多くの問題に対して、ワンクリックでAutoFixソリューションを提供します: アップグレードすべき安全なバージョンを提案し、依存関係をバンプするためのプルリクエストを自動的に開くことができます。他のケースでは、問題を解決する方法を正確に知ることができるように、明確な改善ガイダンスを提供します。結論：AutoFix は、オープンソースのセキュリティ問題を報告するだけでなく、修正を効率化します。

Aikido's SCAは、私のアプリケーション用にソフトウェア部品表（SBOM）を作成できますか？

はい -AikidoSCAは、ワンクリックであなたのアプリのソフトウェア部品表（SBOM）を作成することができます。これは、プロジェクト内のすべてのオープンソースコンポーネントの完全なリストをコンパイルし、CycloneDXやSPDXのような標準フォーマットでエクスポートすることができます（または、プレーンCSV）。このSBOMは、あなたとあなたのコンプライアンス・チームに、ソフトウェア内の完全なインベントリを提供します。これは、可視化、コンプライアンス監査、およびスタックに「不明な」部分がないことを確認するために最適です。

AikidoSCAスキャナはどの言語とパッケージマネージャをサポートしていますか？

AikidoSCAは、ほとんどの主要なプログラミング言語とそのパッケージマネージャをサポートしています。例えば、JavaScript/TypeScript（npm、Yarn、pnpm）、Python（pip、Poetry）、Java/Scala/Kotlin（Maven、Gradle、sbt）、.NET（NuGet）、Ruby（Bundler）、PHP（Composer）、Go（Goモジュール）、Rust（Cargo）、Swift（CocoaPods、SwiftPM）、Dart（pub）などをカバーしている。C/C++プロジェクト（ロックファイルを必要とせず、既知の依存関係をスキャンする）さえも扱うことができる。要するに、Aikidoスキャナーは幅広い言語をカバーしているので、どんな技術スタックでも分析できるだろう。

AikidoSCAが依存関係から検出できる脆弱性の例にはどのようなものがありますか？

基本的に、依存関係にある既知のオープンソースの脆弱性はすべて検出されます。例えば、あなたのプロジェクトがLog4Shell（悪名高いLog4jの脆弱性）の影響を受けるライブラリを含んでいる場合、AikidoSCAはそれにフラグを立てます。OpenSSL Heartbleedバグのようなものも同様です。また、あまり有名ではないCVEや、悪意のあるパッケージ（危険なnpm/PyPIパッケージなど）も検知します。依存関係に既知の欠陥やバックドアがあれば、Aikido それを検知します。

AikidoSCAは、SnykやGitHub Dependabotのような依存性スキャン用のツールと比較してどうですか？

AikidoSCAは、Snykのオープンソース・スキャンと同じようなカバレッジを提供するが、より少ないフラッフィングを提供する。Snykは強力だが、しばしば大量のアラート（優先度の低い問題も含む）を浴びせるのに対し、Aikido 自動優先順位付けを行い、真のリスクだけを表示する。Aikido 、既知のバルーンに対するバージョンバンプPRを単に自動化するDependabotとは異なり、脆弱性に関する完全なコンテキストを提供し、悪意のあるパッケージをスキャンし、ライセンスをチェックし、ワンクリックで修正を提供します。要するに、Dependabotのような基本的なツールよりもはるかに高機能で、アラートで疲れることなくSnykレベルの徹底性を得ることができる。

すでにDependabot（または同様のツール）を使用している場合でも、AikidoSCAスキャンは必要ですか？

Dependabot は役に立つスタート地点ではありますが、全てではありません。例えば、悪意のあるパッケージや、まだアップデートが提供されていない脆弱性を見逃してしまうかもしれません。Aikido の SCA は、より深いオープンソースのセキュリティスキャンを提供します。Dependabot をすり抜ける問題を発見し、各脆弱性の詳細を提供し、自動修正まで行います。要するに、基本的なアップデートの自動化だけでなく、徹底的な依存性スキャンを望むのであれば、Aikido あなたの背中を守ってくれるだろう。

もっと探索する

ドキュメンテーション

トラストセンター

インテグレーション