Sonatype SCA サプライ チェーン攻撃への安全保護

sonatype
現在、すべての企業は、ビジネスを強化し、顧客やパートナーとつながり、バックオフィスプロセスを自動化し、市場での存在感を拡大するためにソフトウェアに依存しています。従って、ビジネスに不可欠なソフトウェアのコーディングを任された開発者は、これまで以上に迅速に顧客に価値を提供するという大きなプレッシャーに直面しています。
アジャイル+DevOps のような方法論は製品デリバリーのスピードアップに貢献してきましたが、実際に組織に優位性をもたらすのは、基本部分、つまり定型機能についてはオープン ソースとサードパーティ ソフトウェアに依存しています。コードベースの78% がオープンソースです。サードパーティのソースが原因で、アプリケーションのコードの大部分が危険にさらされたままになります。アプリケーション セキュリティおよびアプリケーション開発のリーダーは、ソフトウェア構成分析ツールを利用し、オープン ソースおよびサードパーティ ライブラリのセキュリティとライセンス リスクを可視化します。
 Forrester Wave™ の評価では、リーダー、強力なパフォーマー、競争者、および挑戦者が強調表示されます。
sonatype
Forrester Wave™: ソフトウェア構成分析スコアカード、2023 年第 2 四半期
 非常に上位にある、Sonatype 社は、
 すべてのライブラリとソフトウェア サプライ チェーンを保護します。
と宣言します。
Sonatype は、一連の製品を使用して、製品ライフサイクル全体にわたってオープン ソース ライブラリを管理および保護します。 Sonatype Nexus Repository はバイナリを管理します。
  • Sonatype Lifecycle は純粋な SCA 製品です。
  • Sonatype Repository Firewall は悪意のあるパッケージをブロックします。
  • ライフサイクル
  • リポジトリ ファイアウォール
  •  Advanced Legal Pack アドオンすべて、評価した差別化機能を活用するために必要であり、この評価で最も複雑なエコシステムとなっています。Sonatype の差別化されたイノベーション戦略には、セキュリティ、開発者、運用、法人格が含まれており、次世代のサプライ チェーン攻撃を防止します。

  SCA ベンダーは、セキュリティとライセンスのリスクを効果的に発見して修正するだけでなく、今回のForrester Wave™ 分析内容は、政府と民間部門が最近注目しているソフトウェア サプライ チェーンのユースケースで差別化を図り、次のようなプロバイダーに注目しています。

1.開発者が脆弱性を修正し、ライブラリを最新の状態に保つのを支援します。
差別化された SCA ツールは、重大性、悪用可能性、成熟度、脆弱性などの複数の側面で検出結果に優先順位を付け、開発者がリスクに基づいて検出結果の優先順位を付けるのを支援します。高度な修復ガイダンスは、ライブラリの比較、推移的な脆弱性のルートレベルの解決、脆弱性の自動修復など、複数の代替手段の形式で提供されます。脆弱性が特定された古いコンポーネントに複数のメジャー バージョンのアップグレードが必要になると、技術的負債が蓄積します。SCA ツールは、アップグレードに最適なバージョンを含む自動プル リクエストを作成します。これにより、数千もの可能なバージョンを常に把握し続ける開発チームの負担が軽減されます。

2.ライセンスのリスクを管理します。
オープンソース ソフトウェアは共有とコラボレーションを促進しますが、組織はコードの使用、変更、配布に対するライセンス義務と制限を綿密に考慮する必要があります。SCA ツールは、宣言されたライセンス、監視されたライセンス、埋め込まれたライセンス、および有効なライセンスを識別する機
能で差別化されています。

 

  • ソースコードスニペットの検出
  • 帰属レポート。
  • サードパーティおよびクローズド ソース ライセンスの検出
  • 著作権情報の表面化
  • 法的承認のためのワークフローの提供
    などの課題に取り組んでいます。


3.ソフトウェアのサプライチェーンを強化します。
SCA ツールは、悪意のあるパッケージの検出を差別化し、依存関係の混乱、タイポスクワッティング、その他の次世代ソフトウェア サプライ チェーン攻撃を防ぐためにリポジトリと統合しています。プロジェクトの健全性により、運用リスクに関する洞察が得られ、より高度な SCA ツールは、ライブラリの提案やプロアクティブな脆弱性修復の際に、アクティビティ、来歴、システムを考慮します。SCA ツールはソフトウェア部品表 (SBOM) を生成しますが、完全な透明性を提供するためにサードパーティの SBOM を取り込んで分析できるツールはわずかです。パイプライン (コードの開発と構築に使用されるツール) のセキュリティは、構成ミスや脆弱な依存関係にさらされており、組織は攻撃にさらされています。精通した SCA ベンダーは、これらのツールを分析して保護する機能を追加しています。

そして、今回の分析により、個々のベンダーの次のような強みと弱みが明らかになりました。

sonatype
Forrester Wave™: ソフトウェア構成分析スコアカード、2023 年第 2 四半期
 安全性評価は、プロジェクトの活動、貢献者の数、安全なコーディングの実践、セキュリティ テストなどの OpenSSF スコアカードの基準に基づいて 1 から 10 のスケールを使用します。そして、今回の分析により、Sonatype は、Chrome ブラウザ プラグイン、統合開発環境 (IDE)、プル リクエスト、ビルド、継続的インテグレーションおよびデリバリー (CI/CD) パイプラインなど、複数のライフサイクル ポイントにおけるセキュリティ、ライセンス、運用リスクを明らかにします。強力な顧客関係が Sonatype の優位性を高めています。
 「Sonatype は、私がこれまでに協力した中で最高のベンダーの 1 つです。誰もが顧客を理解し、顧客を満足させることに関心を持っています。」
とある客様が述べました。
 Sonatype は、多様なソフトウェア サプライ チェーンを持つ組織に最適です。セキュリティ、ライセンス、運用上のリスクも持ち込まれていなく、製品スイートを統合するためのリソースを持ち、あらゆる組織がリスク無しに継続的に活用できるように支援することに重点を置いており、その実現のために様々な製品群を開発しています。すべてのライブラリとソフトウェア サプライ チェーンを保護できる技術ことで自慢しています。

DevSamuraiは、Sonatypeのゴールドパートナーとして日本国内で同社製品を販売し、インストール、設定、テクニカルサーポートなどの導入支援サービスを提供しています。

 

前の投稿
アトラシアン社の Marketplace Platinum Partnerへ昇格
次の投稿
サプライチェーン・セキュリティの内と外
メニュー