SDLC全工程でオーペンソース・コンポーネントのリスク回避とガバナンスのツール
プロジェクトチーム及び会社全体のコードベースは今までどうやって管理していますか。また、オープンソースのコンポーネントを利用する場合、どうやってセキュリティを確保していますか。株式会社DevSamuraiは投稿で自社で利用しているSDLC全工程におけるオープンソースコンポーネントのリスク予防とガバナンスツールをご紹介いたします。 2019年に実施したBlack Duck監査では、ほぼ99%のコードベースにオープンソースが含まれていました。現実には全17業種のうち9つで、すべてのコードベースに少なくとも1つのオープンソース・コンポーネントが含まれていました。オープンソースコンポーネントを全く含まないコードベースはわずか1.2%にとどまり、そのほとんどすべてが1000未満のファイルで構成されたものです。また、1つのコードベースに平均で445個のオープンソース・コンポーネントが見つけました。しかし、75%のコードベースが脆弱性を含んでいました。その中で、49%のコードベースは高リスク弱性を含んでいました。つまり、オープンソースコンポーネント及びその利用は管理されているようがないと言えます。 デジタル化が普及した現在では、誰でもコンポーネントをコミュニティに共有でるため、オープンソース・コンポーネントにリスクがあるかどうかまたはどのぐらいの危険性があるのか普通に判断できないし、それを審査する時間もないでしょう。だから、開発終了から4年超が経過したコンポーネントを含むコードベースの割合が82%、過去2年間に開発活動実績のなかったコンポーネントを含むコードベースの割合が88%だったのが2019年の数字です。ソフトウェアの品質とセキュリティを決めるコードベースの管理に力を入れる必要があります。 企業の心配を理解し、Sonatype NEXUSはオープンソースコンポーネントのチェック、コードベースの管理について企業を支援するNEXUSリポジトリプロ、NEXUSライフサイクルとNEXUSファイアウォールといった3つのツールを提供しました。 クルとNEXUSファイアウォールといった3つのツールを提供しました。 NEXUSリポジトリプロ バイナリ&ビルドアーティファクトリポジトリ バイナリ&ビルドアーティファクトリポジトリ NEXUSリポジトリプロはアーティファクトリポジトリ、ビルドリリース管理の素晴らしいツールです。NEXUSリポジトリプロが登場する前に、Gitlabリポジトリがすでに人気を集めましたが、Sonatype NEXUSはコストが高いというGitLabリポジトリのマイナスを自社の製品のプラスに転換しました。NEXUSリポジトリプロのコストは一か月一人で$10となっています。 また、NEXUSリポジトリプロはソフトウェアのコンポーネントをすべて記録します。コンポーネントのセキュリティ、ライセンスと品質の情報を分析し、コンポーネント管理とアーティファクトビルドリリースを一元に管理することで、NEXUSリポジトリプロは安全なオープンソースコンポーネント利用を支援しています。また、グローバル中のたくさんツールと統合可能であるため、デベロッパーまたはソフトウェア開発企業に最高の体験を提供しています。 NEXUSリポジトリプロについての詳細はこちらへ! NEXUSファイアウォール NEXUSファイアウォールは厳重なオープンコンポーネント審査入り口として役割を果たしています。安全でないオープンソースコンポーネントをすべて自動的にブロックし、流入を阻止することで、NEXUSファイアウォールは顧客のDevOps環境を保護しています。NEXUSファイアウォール初心者は弊社の記事をご参照ください。 NEXUSファイアウォールのメリットは: ポリシーに基づいて最良のオープンソースコンポーネント選択することで、修正作業を削減 洗濯時にオープンソースポリシーを自動的に適用することで、開発チームとセキュリティチームの摩擦を回避 代替品が入手出来ない場合や相殺策が存在する場合、検疫されたコンポーネントの免除措置を生成…
スクラムアリアンスはスクラムガイド2020が最新バージョンとして公開しました。 ダウンロードはこちら スクラムガイド2020 日本語版 アップデート内容の解説
マイクロサービスとは 皆さんは既にマイクロサービスアーキテクチャ知識を持ってるかもしれませんが、簡単にマイクロサービスの特徴をまとめます。 ビジネス機能に 沿って複数小さい「マイクロサービス」に分割し、 それらを連携してアプリケーションを構築する 各サービス、独立したプロセスで動作する 各サービス、よく定義されたオープンなインタフェースを備える (REST(JSON/HTTPS), gRPC 等) マイクロサービスのメリット 複数技術で対応可能 障害耐性・保守性が高い スケール・冗長化が容易 開発チームを小さくできる サービス一つ一つが小さいため把握が容易 サービスの再利用性が高くなる マイクロサービスの課題 サービスディスカバリ: サービスや存在関係の発見 セキュリティ: 安全に接続する…
弊社が Kubernetes Examsリセラーに選出されました。本ページにて受験申し込みしたら最大20%割引を提供しております。 Certified Kubernetes Administrator (CKA) 試験は、Kubernetesに関するスキルを証明するための、コマンドラインを使ったハンズオン形式の資格試験です。この試験の目的は、Kubernetesの管理者に必要なスキル、知識、および能力がCKA認定者に備わっていることを保証することです。 詳細は https://www.cncf.io/certification/cka/ (英語のみ) この試験の一般領域とその割合は以下のとおりです。 アプリケーションのライフサイクル管理 - 8% インストール、構成、および検証 – 12% 主要概念 – 19% ネットワーク…
SREとは Google で生まれ、他の企業にも広まりつつある Site Reliability Engineering(SRE)とは、サイト・リライアビリティ・エンジニアリング」の頭文字を取った略称で、Webサイトやサービスの信頼性向上に向けた取り組みを行い、価値の向上を進める考え方および方法論です。 SREの基本 次の 3 つは SRE の基本原則ですが、本番システムに対して責任を負うチームであれば、名前がどうであれ、SRE チームを作る前から、あるいは SRE チームへの転換と並行して、広く採用しているプラクティスでもあります。 何らかのサービス レベル目標(SLO)を決め(開発、事業部門の一部でない場合は、これらの部門のメンバーと共同で)、ほぼ毎月目標を達成していること。 非難を伴わない障害報告書を記録するカルチャーがあること。 本番環境におけるインシデントの管理プロセスが作られていること(これは全社的であることが望ましい) DevOpsとは…
This website stores cookies on your computer. These cookies are used to collect information about how you interact with our website and allow us to remember you. We use this information in order to improve and customize your browsing experience and for analytics and metrics about our visitors both on this website and other media. To find out more about the cookies we use, see our Privacy Policy.
Ok 
