SDLC全工程でオーペンソース・コンポーネントのリスク回避とガバナンスのツール

 プロジェクトチーム及び会社全体のコードベースは今までどうやって管理していますか。また、オープンソースのコンポーネントを利用する場合、どうやってセキュリティを確保していますか。株式会社DevSamuraiは投稿で自社で利用しているSDLC全工程におけるオープンソースコンポーネントのリスク予防とガバナンスツールをご紹介いたします。

 2019年に実施したBlack Duck監査では、ほぼ99%のコードベースにオープンソースが含まれていました。現実には全17業種のうち9つで、すべてのコードベースに少なくとも1つのオープンソース・コンポーネントが含まれていました。オープンソースコンポーネントを全く含まないコードベースはわずか1.2%にとどまり、そのほとんどすべてが1000未満のファイルで構成されたものです。また、1つのコードベースに平均で445個のオープンソース・コンポーネントが見つけました。しかし、75%のコードベースが脆弱性を含んでいました。その中で、49%のコードベースは高リスク弱性を含んでいました。つまり、オープンソースコンポーネント及びその利用は管理されているようがないと言えます。

 デジタル化が普及した現在では、誰でもコンポーネントをコミュニティに共有でるため、オープンソース・コンポーネントにリスクがあるかどうかまたはどのぐらいの危険性があるのか普通に判断できないし、それを審査する時間もないでしょう。だから、開発終了から4年超が経過したコンポーネントを含むコードベースの割合が82%、過去2年間に開発活動実績のなかったコンポーネントを含むコードベースの割合が88%だったのが2019年の数字です。ソフトウェアの品質とセキュリティを決めるコードベースの管理に力を入れる必要があります。

 企業の心配を理解し、Sonatype NEXUSはオープンソースコンポーネントのチェック、コードベースの管理について企業を支援するNEXUSリポジトリプロ、NEXUSライフサイクルとNEXUSファイアウォールといった3つのツールを提供しました。

クルとNEXUSファイアウォールといった3つのツールを提供しました。

NEXUSリポジトリプロ

バイナリ&ビルドアーティファクトリポジトリ

NEXUSリポジトリプロはアーティファクトリポジトリ、ビルドリリース管理の素晴らしいツールです。NEXUSリポジトリプロが登場する前に、Gitlabリポジトリがすでに人気を集めましたが、Sonatype NEXUSはコストが高いというGitLabリポジトリのマイナスを自社の製品のプラスに転換しました。NEXUSリポジトリプロのコストは一か月一人で$10となっています。

 また、NEXUSリポジトリプロはソフトウェアのコンポーネントをすべて記録します。コンポーネントのセキュリティ、ライセンスと品質の情報を分析し、コンポーネント管理とアーティファクトビルドリリースを一元に管理することで、NEXUSリポジトリプロは安全なオープンソースコンポーネント利用を支援しています。また、グローバル中のたくさんツールと統合可能であるため、デベロッパーまたはソフトウェア開発企業に最高の体験を提供しています。

NEXUSリポジトリプロについての詳細はこちらへ!

NEXUSファイアウォール

NEXUSファイアウォールは厳重なオープンコンポーネント審査入り口として役割を果たしています。安全でないオープンソースコンポーネントをすべて自動的にブロックし、流入を阻止することで、NEXUSファイアウォールは顧客のDevOps環境を保護しています。NEXUSファイアウォール初心者は弊社の記事をご参照ください

NEXUSファイアウォールのメリットは:

  • ポリシーに基づいて最良のオープンソースコンポーネント選択することで、修正作業を削減
  • 洗濯時にオープンソースポリシーを自動的に適用することで、開発チームとセキュリティチームの摩擦を回避
  • 代替品が入手出来ない場合や相殺策が存在する場合、検疫されたコンポーネントの免除措置を生成

NEXUSライフサイクル

 NEXUSライフサイクルはDevOpsパイプライン上のオープンソースライブラリの脆弱性を監視する役割を果たします。ライフサイクルは企業別、チーム別またはアプリケーション別にオープンソースコンポーネントポリシーを定義し、コンポーネントの内部を存続的に監視します。それに、DevOpsパイプラインの全体にわたって条件を満たす場合に定義ポリシーを自動的に適用します。

 以上株式会社DevSamuraiはオープンソースコンポーネントのリスク管理とガバナンスの世界流行Sonatype Nexusをご紹介いたしました。Nexusの3つのツールはソフトウェア(システム)開発ライフサイクルでそれぞれの役割を果たしていますが、SDLC上のリスクを100%回避し、開発ライフサイクルまたはソフトウェアの順調と安全性を高めることに貢献しています。

 NEXUSリポジトリプロ、ライフサイクルとファイアウォールはSonatype本社だけではなく、Sonatypeリセラーパートナーでも販売されています。