ノイズに埋もれない、「信頼できる」SCAツール

"DevSecOps"は次の課題へ進んでいます

DevSecOpsの考え方は、開発パイプラインに「セキュリティ」を組み込む手法として広く普及しました。
一方で、多くのツールは「脆弱性の検出」に留まり、結果としてノイズが増え、適切な判断につながりにくいという課題があります。

Checkmarx OneのSCA機能は、単なる検出ツールではありません。
「検出 → 判断 → 修復 → 運用」までを一貫して支援し、対応すべきリスクに優先順位を付けることで、開発者の負担を軽減します。

特長

ライセンスリスクの可視化

サードパーティ製コードに含まれるライセンス要件や制限を把握・追跡し、コンプライアンス違反や法的リスクを未然に防ぎます。

組織やプロジェクトのポリシーに基づいた利用管理も可能です。

SBOM出力による法規・規制対応

アプリケーションを構成するソフトウェア (OSSやサードパーティコンポーネント) を一覧化するソフトウェア部品表（SBOM：Software Bill of Materials）の出力に対応しています。

業界標準のフォーマット（CyclonDX・SPDX）での出力が可能であり、各種法規制・ポリシー・ライセンス要件への対応を支援します。

継続的な脆弱性対応

脆弱性の情報は日々更新されています。
利用中のOSSに新たな脆弱性が発見された場合、Slack・Teams・メール等でリアルタイムに通知します。
さらに、Gitリポジトリと連携することで、マニフェストファイルを修正版に自動更新し、プルリクエストの作成まで自動化することが可能です。

これにより、脆弱性の「見逃し」や「対応遅れ」を防ぎ、継続的かつ確実なセキュリティ運用を実現します。

AIによる事前予防 【Optional】

オプション機能 「Checkmarx Developer Assist」 によりコーディング段階から脆弱性の混入を防止します。

• Checkmarx One Developer Assist機能の詳細はこちら

脆弱性のオンザフライ解析

IDE上で、コードをリアルタイムに解析し、既知の脆弱性を即座に検出・警告します。

AIコード修正支援

検出された脆弱性に対し、AIがコード修正提案を提示します。
コードの前後関係や利用コンテキストを踏まえた提案のため、そのままコードとして適用することが可能です。

解析できるプログラミング言語/フレームワーク