Security RX for アプリケーションは、アプリケーションの依存関係における脆弱性を特定し、優先順位を付け、修正するのに役立ちます。 単一のサービスを監視する場合でも、アプリケーション ポートフォリオ全体のセキュリティを管理する場合でも、Security RX はソフトウェア サプライ チェーンのセキュリティを確保するために必要な可視性とコンテキストを提供します。
行えること
Security RX for アプリケーションを使用すると、次のことが可能になります。
- APMエージェントを通じてアプリケーションの依存関係の脆弱性を自動的に検出します
- CVSS の重大度、エクスプロイト確率 (EPSS)、アクティブなランサムウェア キャンペーンに基づいて修復の優先順位を決定します。
- アプリケーション ポートフォリオ全体の脆弱性の露出を追跡します
- 開発者向けのエンティティスコープのビューを備えた特定のアプリケーションを監視する
- セキュリティチーム向けの包括的なダッシュボードで組織全体のセキュリティを管理します
- Snyk、Dependabot、FOSSAなどのサードパーティツールから脆弱性をインポートする
始め方
Security RX for Application を使用する前に、次のことを確認してください。
- 前提条件とユーザーロールを設定する- 必要な権限があることを確認する
- インテグレーションの構成- APMエージェントをインストールするか、サードパーティのインテグレーションをセットアップします
- 優先順位を理解する- 脆弱性のランク付け方法を学ぶ
ワークフローを選択する
Security RX は、アプリケーションの脆弱性を管理するための 2 つの補完的なビューを提供します。
組織ビュー: すべてのアプリケーションを管理
次のことを必要とするセキュリティ チーム、DevSecOps、プラットフォーム エンジニアに最適です。
- すべてのアプリケーションにわたる脆弱性の表面積を計算する
- 最もリスクの高いアプリケーションを特定する
- 脆弱性が複数のサービスにどのように影響するかを理解する
- メトリクス組織全体のセキュリティ衛生状況を追跡する
エンティティビュー: モニター固有のアプリケーション
次のようなニーズを持つ開発者やエンジニアに最適です。
- 自社サービスの脆弱性を監視する
- 特定のアプリケーションの修正を優先する
- コードの脆弱性露出期間を追跡する
- セキュリティタスクを日常のワークフローに統合する
サポートされている言語とフレームワーク
Security RX New Relic APMエージェントで行われたアプリケーション インストゥルメントの脆弱性を検出します。
言語 | 最小バージョン | 検出範囲 |
|---|---|---|
Java | サポートされているすべてのバージョン | JARファイル |
Node.js | サポートされているすべてのバージョン | npmパッケージ |
Ruby | サポートされているすべてのバージョン | 宝石 |
Python | 8.0以上 | パッケージ |
Go | 3.20以上 | モジュール |
PHP | 10.17以降 | Composerパッケージ |
完全なエージェント要件とバージョンの詳細については、 APMエージェント統合」を参照してください。
データソース
Security RX for アプリケーションは以下から脆弱性データを収集します。
- APMエージェント- ロードされたライブラリの脆弱性の自動検出
- サードパーティ統合- Snyk 、 Dependabot 、FOSSA、およびその他のセキュリティ ツールから結果をインポート
- セキュリティデータAPI - カスタム脆弱性データをNew Relicに直接送信
統合の構成について詳しくは、こちらをご覧ください。