SDLC全工程でオーペンソース・コンポーネントのリスク回避とガバナンスのツール

　プロジェクトチーム及び会社全体のコードベースは今までどうやって管理していますか。また、オープンソースのコンポーネントを利用する場合、どうやってセキュリティを確保していますか。株式会社DevSamuraiは投稿で自社で利用しているSDLC全工程におけるオープンソースコンポーネントのリスク予防とガバナンスツールをご紹介いたします。 　2019年に実施したBlack Duck監査では、ほぼ99％のコードベースにオープンソースが含まれていました。現実には全17業種のうち9つで、すべてのコードベースに少なくとも１つのオープンソース・コンポーネントが含まれていました。オープンソースコンポーネントを全く含まないコードベースはわずか1.2％にとどまり、そのほとんどすべてが1000未満のファイルで構成されたものです。また、１つのコードベースに平均で445個のオープンソース・コンポーネントが見つけました。しかし、75％のコードベースが脆弱性を含んでいました。その中で、49％のコードベースは高リスク弱性を含んでいました。つまり、オープンソースコンポーネント及びその利用は管理されているようがないと言えます。 　デジタル化が普及した現在では、誰でもコンポーネントをコミュニティに共有でるため、オープンソース・コンポーネントにリスクがあるかどうかまたはどのぐらいの危険性があるのか普通に判断できないし、それを審査する時間もないでしょう。だから、開発終了から4年超が経過したコンポーネントを含むコードベースの割合が82％、過去2年間に開発活動実績のなかったコンポーネントを含むコードベースの割合が88％だったのが2019年の数字です。ソフトウェアの品質とセキュリティを決めるコードベースの管理に力を入れる必要があります。 　企業の心配を理解し、Sonatype NEXUSはオープンソースコンポーネントのチェック、コードベースの管理について企業を支援するNEXUSリポジトリプロ、NEXUSライフサイクルとNEXUSファイアウォールといった3つのツールを提供しました。 クルとNEXUSファイアウォールといった3つのツールを提供しました。 NEXUSリポジトリプロ バイナリ&ビルドアーティファクトリポジトリ バイナリ&ビルドアーティファクトリポジトリ NEXUSリポジトリプロはアーティファクトリポジトリ、ビルドリリース管理の素晴らしいツールです。NEXUSリポジトリプロが登場する前に、Gitlabリポジトリがすでに人気を集めましたが、Sonatype NEXUSはコストが高いというGitLabリポジトリのマイナスを自社の製品のプラスに転換しました。NEXUSリポジトリプロのコストは一か月一人で＄10となっています。 　また、NEXUSリポジトリプロはソフトウェアのコンポーネントをすべて記録します。コンポーネントのセキュリティ、ライセンスと品質の情報を分析し、コンポーネント管理とアーティファクトビルドリリースを一元に管理することで、NEXUSリポジトリプロは安全なオープンソースコンポーネント利用を支援しています。また、グローバル中のたくさんツールと統合可能であるため、デベロッパーまたはソフトウェア開発企業に最高の体験を提供しています。 NEXUSリポジトリプロについての詳細はこちらへ！ NEXUSファイアウォール NEXUSファイアウォールは厳重なオープンコンポーネント審査入り口として役割を果たしています。安全でないオープンソースコンポーネントをすべて自動的にブロックし、流入を阻止することで、NEXUSファイアウォールは顧客のDevOps環境を保護しています。NEXUSファイアウォール初心者は弊社の記事をご参照ください。 NEXUSファイアウォールのメリットは： ポリシーに基づいて最良のオープンソースコンポーネント選択することで、修正作業を削減 洗濯時にオープンソースポリシーを自動的に適用することで、開発チームとセキュリティチームの摩擦を回避 代替品が入手出来ない場合や相殺策が存在する場合、検疫されたコンポーネントの免除措置を生成…