ランタイムからソースへ：Sysdig と Semgrep の統合

ランタイムとソースのコンテキストを橋渡しする

長い間、ランタイムセキュリティと静的解析は別々の世界で動いてきました。Falco によって支えられた Sysdig のランタイム脅威検知は、比類のない ランタイムコンテキスト――ライブなコンテナ内のプロセス活動、ネットワーク接続、ファイルシステムの相互作用――を提供します。一方、Semgrep は ソースコンテキスト――リポジトリ、依存関係マニフェスト、コードオーナーシップといった、開発者にとってのグラウンドトゥルース――を提供します。

問題は、両者をつなぐために必要な手作業での相関付けでした。セキュリティエンジニアは、プロダクションの Pod で使用中の重大な脆弱性について Sysdig から検知を受け取っても、ソースリポジトリを手作業で探し回らなければなりません。開発者は Semgrep からソフトウェアコンポジション解析（SCA）の検知を受け取っても、それが机上のリスクなのか、プロダクションでの緊急事態なのかを判断するためのデータがありません。

この統合は、その手作業の探索を、動的で自動化されたデータ拡充プロセスに置き換えます。

拡充された検知の構造：データフロー

Sysdig の検知が生成されると、ランタイムとソースのコンテキストを融合するための精密で自動化されたワークフローが起動します。

1. ランタイム検知：Sysdig は、コンテナ内で実行中のプロセスによって使用されている脆弱なパッケージを検知します。これにより、たとえば  イメージ ID、パッケージ名（log4j-core）、バージョン（2.14.1）などを含む詳細なランタイム検知が生成されます。
2. メタデータ抽出：標準のデータ収集の一環として、Sysdig はすでにコンテナイメージのメタデータ（ソースリポジトリとコミット SHA の OCI ラベルを含む）を収集しています。
3. 拡充：Sysdig は抽出したソース情報を使って、Semgrep プラットフォームのデータと照合します。クエリは本質的にこう尋ねます。「コミット a1b2c3d のリポジトリ github.com/my-org/my-app について、パッケージ log4j-coreに関して何が分かっていますか？」
4. ソースコンテキストの取得：Semgrep はすでにこれをスキャンしているため、必要なデータがインデックス化されています。脆弱な依存関係の正確な場所（例：pom.xml の 52 行目）と修正の助言（例：「バージョン 2.17.1 にアップグレード」）を含むペイロードを即座に返します。
5. 統合された検知：Sysdig はこの Semgrep のペイロードを、元のランタイム検知にマージします。セキュリティエンジニアは、Sysdig Secure UI 上で「何が」と「どこに」が両方含まれた、単一の実行可能なビューを確認できるようになります。一方 Semgrep 側でも、この脆弱性をランタイムコンテキスト付きで確認できます。

これは、ランタイムイベントからソースコード上の場所へ至る、直接的でプログラム可能な経路です。

結果：単一で実行可能なビュー

この統合は、セキュリティ検知の性質を根本的に変えます。単なる通知ではなく、チームは単一のビューで包括的な修正チケットを得られます。

ランタイムとソースコードの間にシームレスな技術的ブリッジを構築することで、Sysdig と Semgrep はチームに統一されたシグナルを提供します。これにより、セキュリティ運用はアラート疲れを軽減し、高インパクトな脅威に集中できます。一方で開発者は、平均修復時間（MTTR）を短縮するために必要な、正確で実行可能なデータを受け取れます。私たちは、セキュリティのボトルネックから安全なスピードへと移行できるよう支援し、DevSecOps の約束をついに実現します

‍