SDLC全工程におけるオープンソースリスクの回避

デベロッパーがオープンソースを使用することは、いまや当たり前になりつつあります。モダンアプリケーションの実に85%を構成しているオープンソースのコンポーネントですが、残念ながらダウンロード10件中1件には既知のセキュリティ上の脆弱性が含まれています。

このようなリスクを抱える中で、モダンソフトウェアチームはいかに最良のコンポーネントを選択し、オープンソースの使用を管理し、そしてDevOpsのスピードでデリバリーしているのでしょうか。その疑問を解く鍵は、オープンソースガバナンスの自動化にあります。

Nexusライフサイクルを使用することで、デベロッパーとセキュリティプロフェッショナルはSDLC上でより安全なオープンソースを選択できるようになります。リスクを低減させ、組織の継続的なイノベーションを保証します。

デベロッパーのより安全なコンポーネンツの選択を可能にする

クローム拡張機能を使用することで、パブリックリポジトリから選択したオープンソースコンポーネントの脆弱性をデベロッパーが識別することができます。

IDE内の既知の問題を修正

ソースリポジトリとIDEを統合させることによって、デベロッパーはリアルタイムインテリジェンスを基に最適なコンポーネンツを選択し、ワンクリックで承認済みのバージョンに移行することができます。

Nexusライフサイクルは、GitHub、GitLab、BitBucket、Eclipse、IntelliJ、Visual Studioに組み込むことができます。

SDLC全工程におけるオープンソースポリシーの実施

アプリケーションの種類や組織に基づいてセキュリティ、ライセンス、アーキテクチャポリシーをカスタマイズ作成し、SDLCの各段階で状況に応じて実施します。

自動的なポリシーの実施にはNexusインテリジェンスの精度と正確性が必要不可欠であり、他のソリューションに見られる誤検出や検出漏れを回避します。

いつものツール上で使えます

日々使用しているツール上で自動的にポリシーを実施し、専門家による修正ガイダンスを表示します。

Nexusライフサイクルは、Nexus リポジトリ、Artifactory、GitHub、GitLab、IDEs、Jira、 Jenkins、Azure DevOps、Micro Focus Fortify、Xebia Labs、OpenShift、Mesosphere OS、AWS、Dockerといったツールと連動しています。

ソフトウェア部品表（BoM）の自動作成

どのコンポーネントがどこで使用されているかを識別し、ポリシーコンプライアンスを検証します。

たった数分の間に、それぞれのアプリの詳細なソフトウェアBoMを作成し、全てのオープンソースコンポーネントとその依存関係を特定します。

解決までの平均時間（MTTR）
の傾向を表示

時系列に沿った違反傾向とそれらがいかに迅速に修正されたかを示すレポートによって、シニアマネジメントにリスクの低減を証明します。

Nexusライフサイクルを採用するメリット

✓ 最も精密で正確なコンポーネントインテリジェンスを使用することで、SDLCのあらゆる段階でオープンソースポリシーを自動的に実施することができます。

✓ アプリケーションが継続的に新たなリスクを監視しているため、安心できます。

✓ Nexusライフサイクルは既存のDevSecOpsパイプラインと統合されているため、新しいツールを学ぶ必要はありません。

 

 

デフサムライは、Sonatypeのゴールドパートナーとして日本国内で同社製品を販売し、インストール、設定、テクニカルサーポートなどの導入支援サービスを提供しています。