お問い合わせ

Sonatype LifecycleとSonatype Repository Firewallがクラウド利用可能

Sonatype LifecycleとSonatype Repository Firewallがクラウド利用可能

Sonatype LifecycleとSonatype Repository Firewallが、オンプレミスおよび非接続環境に加え、クラウドでも利用可能になったことを発表いたします。 Sonatype ソフトウェアサプライチェーン管理ツールは、組織内での正確なリスク特定と継続的な自動ポリシー実施を可能にします。サードパーティのオープンソースソフトウェアに関するSonatypeのクラス最高レベルのデータに支えられ、最小限の労力でソフトウェア開発ライフサイクルの安全性を確保することができるようになります。 Sonatypeは10年以上にわたり、開発者向けサービスとソフトウェアサプライチェーンにおけるセルフホストオプションのリーダーとして活躍してきました。今回の発表により、Sonatypeはアプリケーション・セキュリティ・テスト(AST)およびソフトウェア構成分析(SCA)業界において、クラウド、セルフホスト、非接続の展開オプションを提供する唯一のベンダーとなりました。Sonatypeクラウドにより、ソフトウェアサプライチェーンの統合、管理、セキュリティ確保がこれまで以上にシンプルになります。   クラウド版Sonatypeを選ぶ理由 ビジネスのデジタル化が進むにつれ、開発スピードとサイバーセキュリティはますます密接に絡み合っています。全企業コードの97%がオープンソースソフトウェアで構築されているという事実は、脆弱性を排除することの重要性を裏付けています。 チームは業務を遂行するために様々な開発ツールに依存しており、これらのツールが最新で安全であることを保証することは極めて重要です。2021年には17%未満だったクラウドへの支出は、2026年には全企業のIT支出の45%を超えると推定されます。 クラウドの人気の高まりに加え、ソフトウェアのサプライチェーンへの攻撃は過去3年間で742%という驚くべき増加を見せています。Sonatypeを導入することで、チームは柔軟なクラウド展開でSDLCへの脅威から保護することができます。 2022年末までに、企業のクラウドサービスへの支出は4,820億ドルに達すると推定されています。 クラウドで提供されるSonatype LifecycleとSonatype Repository Firewallにより、チームは開発予算を犠牲にすることなく、パイプラインの速度に集中することができます。 クラウド提供のメリット 1.インフラストラクチャとメンテナンス要件排除 ソフトウェア開発ライフサイクルのセキュリティをこれまで以上に簡単に確保できます。これにより、次のことが可能になります:…
home

セキュアソフトウェア開発フレームワーク(SSDF)の使用開始(下)

前回述べたように、現代社会にまだ多くのソフトウェア開発ライフサイクル(SDLC)モデルは、ソフトウェアセキュリティに特に重点を置いていないです。堅牢なセキュリティ対策を確実にするため、既存の SDLC プロセスに加えて、安全なソフトウェア開発プラクティスやソフトウェアセキュリティフレームワークを追加する必要があります。 引き続きとして、SSDFが提唱する4つのコアプラクティスの内容を説明します。 SSDFが提唱する4つのコアプラクティス SSDFは、ソフトウェアのセキュリティと信頼性を高めるために、4つのコアプラクティスのグループを提唱しています。各グループは、安全なソフトウェア開発とソフトウェアサプライチェーンセキュリティの特定の側面を扱っています。以下に、これらの各グループを掘り下げて説明します。 組織の準備 コアプラクティスの最初のグループ(PO)は、SSDF の統合を成功させるための道筋を確立するものです。PO組織は、セキュアなソフトウェア開発プラクティスのために、開発チームと組織全体の両方を準備することの重要性を強調します。 これにはいくつかのステップがあります。 セキュアコーディングの実践について従業員の教育 主要な利害関係者の指名 必要な関連スキルを身につけさせること セキュアソフトウェア開発を促進する強固なプロセスとシステムの確立 POは責任分担を重視することにより、最初からセキュリティの統合を確実にし、組織全体にセキュアな実践文化を作ります。 ソフトウェアの保護 プロテクト・ザ・ソフトウェア(PS)は、開発プロセス全体を通じて、不正アクセスや悪意のある行為者からソフトウェアを保護する必要性を強調しています。厳格なアクセス制御、データの暗号化、強力な認証プロトコル、ソフトウェアリリースのアーカイブと保護などの対策を採用するためのガイダンスを提供します。 PSは、ソフトウェアの完全性を保護し、潜在的なセキュリティリスクを軽減するための具体的な戦術ガイダンスを提供します。 安全性の高いソフトウェアの開発 Produce…
home

セキュアソフトウェア開発フレームワーク(SSDF)の使用開始(上)

  現代社会、技術は急速な発展を続け、ビジネスや企業の在り方を含め、ソフトウェアの使用は私たちの生活を大きく変化させてきました。そのため、開発中のソフトウェアのセキュリティ確保は極めて重要なことです。しかし、多くのソフトウェア開発ライフサイクル(SDLC)モデルは、ソフトウェアセキュリティに特に重点を置いていないです。堅牢なセキュリティ対策を確実にするため、既存の SDLC プロセスに加えて、安全なソフトウェア開発プラクティスやソフトウェアセキュリティフレームワークを追加する必要があります。 米国標準技術局(NIST)により、 SDLC モデルにも統合し、高レベルの実践の中核となる一連の概要を示しました。SSDFに概説されているプラクティスに従うことで、組織は以下のことが可能になります。 リリースされたソフトウェアの脆弱性を減らすこと。 脆弱性が悪用された場合の影響を最小化すること。 将来再発を防止するために、悪用の根本原因を排除すること。 さらに、SSDF は、ソフトウェアのサプライチェーンに関連するリスクを管理し、セキュアなソフトウェア開発の原則により合致させるためのガイダンスを提供しています。このブログポストでは、SSDFの定義や使用対象などを説明します。 SSDFとは? SSDF は、組織が安全なソフトウェアシステムを開発し、維持するのを支援するために NIST が作成したガイドです。NIST は、SSDF を簡潔に「安全なソフトウェア開発のための基本的で健全なプラクティスのセット」と説明ししても良いです。 SSDFは、既存のソフトウェア開発手法にセキュリティ対策を組み込むための構造化されたアプローチを確立し、それによって脆弱性を減らし、全体的なソフトウェアの品質と信頼性を向上させます。NIST は、確立された業界標準と既存のセキュアソフトウェア開発文書に基づいて…
Social Media Marketing

サプライチェーン・セキュリティの内と外

現代のソフトウェア開発では、開発者は既存のサードパーティ・ライブラリやオープンソースの依存関係を再利用することで、迅速に開発を進めることができました。しかし、このようなコンポーネントの “サプライチェーン “はスピードを向上させる同時に、ハッカーの攻撃のベクトルにもなっている恐れもあります。組織のSLDCを保護し続けるためには、ソフトウェアのサプライチェーンを保護することが不可欠です。 ソフトウェア・サプライ・チェーンを保護する内部と外部 ここでは、組織のソフトウェア・サプライ・チェーンを保護するための2つの側面を、内部と外部で確認していきましょう。 Aqua Security の最近のレポートでは、多くの組織が SDLC の秘密に関する管理が不十分であることがわかりました。数多くのコンテナレジストリと成果物リポジトリが、意図せずに公開されたままになっています。 いくつかのケースでは、リポジトリは意図的に公開されましたが、公開を意図していない秘密が含まれていました。多くの場合、これらの秘密は認証情報、API アドレス、証明書であり、組織の奥深くへのさらなる攻撃を可能にする可能性があります。 Sonatype の多くのお客様は、Sonatype Nexus Repository の利点を活用し、顧客やパートナー、より広範な開発コミュニティにコンポーネントを配布しています。 しかし、適切なアクセス制御を確保することは極めて重要です。 最良の結果を得るためには、以下の3つのステップに従ってください: 匿名アクセスを使用する場合、それがユースケースに適合していることを確認する。組織内(または組織外)の認証されていないユーザがリポジトリにアクセスする必要があるを確認すること。(そうでなければ、完全に無効にすることが…
sonatype

Sonatype SCA サプライ チェーン攻撃への安全保護

現在、すべての企業は、ビジネスを強化し、顧客やパートナーとつながり、バックオフィスプロセスを自動化し、市場での存在感を拡大するためにソフトウェアに依存しています。従って、ビジネスに不可欠なソフトウェアのコーディングを任された開発者は、これまで以上に迅速に顧客に価値を提供するという大きなプレッシャーに直面しています。 アジャイル+DevOps のような方法論は製品デリバリーのスピードアップに貢献してきましたが、実際に組織に優位性をもたらすのは、基本部分、つまり定型機能についてはオープン ソースとサードパーティ ソフトウェアに依存しています。コードベースの78% がオープンソースです。サードパーティのソースが原因で、アプリケーションのコードの大部分が危険にさらされたままになります。アプリケーション セキュリティおよびアプリケーション開発のリーダーは、ソフトウェア構成分析ツールを利用し、オープン ソースおよびサードパーティ ライブラリのセキュリティとライセンス リスクを可視化します。  Forrester Wave™ の評価では、リーダー、強力なパフォーマー、競争者、および挑戦者が強調表示されます。 Forrester Wave™: ソフトウェア構成分析スコアカード、2023 年第 2 四半期  非常に上位にある、Sonatype…
Menu
This website stores cookies on your computer. These cookies are used to collect information about how you interact with our website and allow us to remember you. We use this information in order to improve and customize your browsing experience and for analytics and metrics about our visitors both on this website and other media. To find out more about the cookies we use, see our Privacy Policy.
If you decline, your information won’t be tracked when you visit this website. A single cookie will be used in your browser to remember your preference not to be tracked.
Ok