重要なポイント オープンソースのコンポーネントは、アプリケーションにリスクをもたらします。 このリスクは、プログラミングの見落としや悪意のあるコード、オープンソースのパッケージが依存する他のパッケージから発生します。 ソフトウェア構成分析(SCA)ツールは、アプリケーションに含まれるオープンソースパッケージを検査し、潜在的なリスクを特定します。 バイナリスキャンは、アプリケーションに存在するファイルを検査し、依存関係を特定します。 マニフェストスキャンは、依存関係を識別するためにビルドファイルを検査します。この方法は通常、バイナリスキャンよりも精度が低くなります。 SCAツールを使用すると、自動検出とポリシー適用によって大規模なリスク管理が可能となります。 オープンソースコンポーネントと危険性 近頃、ソフトウェアをゼロから構築することは滅多にありません。開発チームは、サードパーティやオープンソースのコンポーネントを利用し、車輪の再発明をせずにコードを出荷し、より速く革新的な製品を開発しています。このようにオープンソースソフトウェアに依存することで、アプリケーションにおけるファーストパーティコード、つまり開発チームが書いたコードの量は劇的に変化しています。米Sonatype社が発表した「State of the Software Supply Chain Report」によると、アプリケーションのコードの90%はオープンソースソフトウェアであることが一般的だそうです。これらのコンポーネントは依存関係と呼ばれ、それぞれの依存関係はセキュリティの脆弱性、ライセンスの問題、または品質の問題といった形で潜在的なリスクを引き起こします。 多くの依存関係は、他のオープンソースコンポーネントに依存しています。つまり推移的な依存関係であるため、本来のリスクの原因を特定することが困難になっています。このようなサードパーティコンポーネントをアプリケーションで使用することにより、組織は、自分たちのチームが書いていないコードに対する責任を負うことになります。オープンソースソフトウェアによるプロジェクトへのリスクは、ソフトウェア・コンポジション解析(SCA)によって管理および予防することができます。 ソフトウェアコンポジション解析とは? ソフトウェアコンポジション解析(SCA)とは、アプリケーションを構成する特定のオープンソースソフトウェアコンポーネントと、それらのコンポーネントに関連する脆弱性を発見するプロセスです。 つまり、SCAとは、プロジェクトに含まれるすべてのコンポーネントを調べ、それらのコンポーネントから潜在的なリスクを判断することです。ソフトウェアコンポジション解析は、アプリケーションの脆弱性を発見し、特定するためのツールを用いて行われます。これらのツールは自動化することができ、ソフトウェア開発ライフサイクル(SDLC)全体にわたってコンポーネントを監視することができます。 SCAツールはどのように機能するのか?…
堅牢性に優れたオープンソースリスク阻止機能 リポジトリマネージャーがSDLC全体に渡ってオープンソースコンポーネントをキャッシュし、管理することが当たり前になるにつれ、「ソース」を保護する必要性はこれまで以上に高まっています。 2019年のState of the Software Supply Chain年次報告書では、パブリックリポジトリからダウンロードされたJavaの10%、またJavascriptの50%のコンポーネントに既知のセキュリティ脆弱性が含まれていることが報告されています。ローカルリポジトリがエンジニアチームの業務を効率化する一方で、管理外のリポジトリは組織に甚大なリスクを及ぼす可能性があるのです。 デベロッパーが高品質のオープンソースコンポーネントだけを確実に選択するために、組織には何ができるのでしょうか。 Nexusファイアウォールは、準拠していないコンポーネントを即座に検疫し、プロキシ中にオ ープンソースポリシーを適用することで、取捨選択を可能にします。 自動化されたセキュリティポリシーは、開発チームが非準拠のコンポーネントを使用することを防ぎ、チーム全体の時間と費用を節約します。欠陥のあるコードの侵入をはじめから食い止めましょう。 普遍的なリポジトリサポートも含まれます リポジトリにArtifactoryをご使用でも問題ありません。Nexusファイアウォール は、JFrog製のArtifactory、NexusリポジトリOSS及びプロに対応しています。 あらゆる言語で 開発パイプラインをコントロール Nexusファイアウォールは、脆弱なコンポーネンをSDLCに侵入させません。Java、JavaScript、.NET、Python、Go、Ruby、RPMをはじめとする、数多くの言語に対応しているNexusファイアウォールを使用して、リポジトリの堅牢性を高めましょう。 作成されたルールの実施をお手伝い 年数や普及度、ライセンスの有無といった一般的なリスク因子に基づいて、SDLCで許可されるコンポーネントを決定します。その上で、ポリシーに対する措置を設定し、不要なコンポーネントや承認されていないコンポーネントを含んだアプリケーションがSDLC…
DevSamuraiは 「DevOpsDays Tokyo 2021」 にスポンサーとして出展いたします。 是非、弊社ブースへお立ち寄りください! 会期:2021年4月15日(木) – 16日(金) 会場:大崎ブライトコアホール 〒141-0001 東京都品川区北品川5丁目5-15 大崎ブライトコア3F DevOpsDaysは世界中で開催されているカンファレンスです。ソフトウェア開発、ITインフラ運用、そしてその 境界線上にあるトピックをカバーし、特にDevOpsを実現するための自動化、テスト、セキュリティ、組織文化 にフォーカスします。 IT技術を駆使して変化に強いビジネスインフラを実現するスキルを身に着けるために、国内外の最先端の事例とプラクティスを結集します。海外から第一人者を直接招き、ここでしか手に入らない最新情報をリアルタイムで入手出来ます。 最先端のテクノロジの活用法はもちろん、先進企業で必要とされてきた背景までも理解し、正しく組織内に展開するための洗練された知見を得られます。 このイベントが日本のみならず、世界のDevOpsプラクティスを共有できる、意義のあるイベントになれるよう、願っております。 https://www.devopsdaystokyo.org/
SDLC全工程におけるオープンソースリスクの回避 デベロッパーがオープンソースを使用することは、いまや当たり前になりつつあります。モダンアプリケーションの実に85%を構成しているオープンソースのコンポーネントですが、残念ながらダウンロード10件中1件には既知のセキュリティ上の脆弱性が含まれています。 このようなリスクを抱える中で、モダンソフトウェアチームはいかに最良のコンポーネントを選択し、オープンソースの使用を管理し、そしてDevOpsのスピードでデリバリーしているのでしょうか。その疑問を解く鍵は、オープンソースガバナンスの自動化にあります。 Nexusライフサイクルを使用することで、デベロッパーとセキュリティプロフェッショナルはSDLC上でより安全なオープンソースを選択できるようになります。リスクを低減させ、組織の継続的なイノベーションを保証します。 デベロッパーのより安全なコンポーネンツの選択を可能にする クローム拡張機能を使用することで、パブリックリポジトリから選択したオープンソースコンポーネントの脆弱性をデベロッパーが識別することができます。 IDE内の既知の問題を修正 ソースリポジトリとIDEを統合させることによって、デベロッパーはリアルタイムインテリジェンスを基に最適なコンポーネンツを選択し、ワンクリックで承認済みのバージョンに移行することができます。 Nexusライフサイクルは、GitHub、GitLab、BitBucket、Eclipse、IntelliJ、Visual Studioに組み込むことができます。 SDLC全工程におけるオープンソースポリシーの実施 アプリケーションの種類や組織に基づいてセキュリティ、ライセンス、アーキテクチャポリシーをカスタマイズ作成し、SDLCの各段階で状況に応じて実施します。 自動的なポリシーの実施にはNexusインテリジェンスの精度と正確性が必要不可欠であり、他のソリューションに見られる誤検出や検出漏れを回避します。 いつものツール上で使えます 日々使用しているツール上で自動的にポリシーを実施し、専門家による修正ガイダンスを表示します。 Nexusライフサイクルは、Nexus リポジトリ、Artifactory、GitHub、GitLab、IDEs、Jira、 Jenkins、Azure DevOps、Micro Focus…
SDLC全工程におけるバイナリ管理とビルドアーティファクト 組織がテクノロジーをより早く提供する必要性から、デベロッパーはオープンソース開発の力を受け入れざるを得なくなっています。今日では、およそ15,000もの新しい、またはアップデートされたオープンソースのリリースが日々デベロッパーに提供されています。 これらのコンポーネントが組織に流入し、組織中を駆け巡ることで複雑なソフトウェアサプライチェーンは形成されていますが、適切に管理されなければ、迅速さ、効率、品質に悪影響を及ぼす可能性があります。 Nexusリポジトリマネージャーは、 ソフトウェアサプライチェーン全体におけるコンポーネントパーツ、アセンブリ、完成品の管理と配布を効率的に行うための、普遍的なローカルウェアハウスとして機能します。 バージョン管理システムやパッケージレジストリは、プロプライエタリやオープンソース、サードパーティのコンポーネントを管理する際、それらの規模の変化に柔軟に対応することはできません。 DevOpsパイプライン全体でこれらのコンポーネントのフローを調整するために、組織には中心となるバイナリやビルドアーティファクトリポジトリが必要となります。 デベロッパーに寄り添った設計 スピードが重視される現代社会において、どこにでも存在するオープンソースを使って組織が競争に打ち勝つためには、より迅速な顧客対応が必要です。 最も人気のあるデベロッパーツールとエコシステムに対する普遍的なサポートによって、ソフトウェアイノベーションを加速させます。 オンプレミスやクラウドにおける柔軟なストレージ機能と信頼性 Nexusリポジトリプロは、信頼できる高性能な可用性によってエンタープライズ環境の原動力となります。 動的ストレージや高い可用性、アクティブ/アクティブ構成によって、オンプレミスやお好きなプライベートクラウドにおけるDevOpsを拡張します。 専用セキュリティによるリリース候補の調整及び管理 ステージング及びリリース機能によって、本番前の合理的な監督及び品質保証プロセスが提供されます。 手軽にテストし、採用または破棄することのできるバイナリ、スナップショット、リリースをデベロッパーのグループ間で共有します。 世界規模の法人用サポートを備える顧客目線のエクスペリエンス 信用を第一と考えるSonatypeは、当初よりデベロッパー、セキュリティ専門家、イノベーターの皆様と共に歩んできました。 Nexusリポジトリのエキスパートになるためにご活用いただける、クイックスタートガイド、テクニカルガイド、詳細な参考文献、ユーザーコミュニティ、ワークショップ、24時間365日体制のサポートといった、様々な無料トレーニングリソースを取り揃えております。 Nexusリポジトリを採用するメリット…
This website stores cookies on your computer. These cookies are used to collect information about how you interact with our website and allow us to remember you. We use this information in order to improve and customize your browsing experience and for analytics and metrics about our visitors both on this website and other media. To find out more about the cookies we use, see our Privacy Policy.
Ok 
