多くの組織が競合他社よりも速いスピードでソフトウェア ソリューションを提供することで競争優位性を確立する努力をしていますが、それを達成するために、オープンソースソフトウェア (OSS) のライブラリやパッケージに大きく依存しており、これらはソフトウェア ソリューションの大部分 (80~90%) を占めています。しかし、OSS は多くの利点がある一方で、潜在的なセキュリティ上の課題も抱えています。実際に OSS はソフトウェア サプライ チェーンの脆弱性を悪用しようとする脅威行為者や攻撃者の主要な攻撃ベクトルとなっています。その結果、開発チームは主要な標的となっています。
このブログ記事では、JFrog が現代のソフトウェア開発における速度とセキュリティの絶妙なバランスを効果的に実現する方法について説明します。JFrog は、ソフトウェア開発チームに速度を提供し、ソフトウェア サプライ チェーン全体で安全なバイナリを保証します。
信頼性のあるソフトウェア サプライ チェーン プラットフォーム
JFrog は、JFrog Curation の導入により、組織のシフトレフト戦略を前進させ、主要なソフトウェア サプライ チェーン セキュリティ ソリューションへの一歩を踏み出しました。JFrog Curation は、JFrog Artifactory、Xray、および Advanced Security を補完し、ソフトウェア サプライ チェーンの入り口でシームレスにオープンソース セキュリティの脅威から保護します。JFrog プラットフォームは、コードからエッジまでの可視性、制御、セキュリティを提供し、信頼できる唯一の情報源となります。
JFrog Curation の紹介
多くの組織は、ソフトウェア開発パイプラインを遅延させることなく、ダウンロードするオープンソース コンポーネントの制御と信頼を確立する方法を模索しています。JFrog Curation は、組織に入る前に悪意のあるリスクのあるパッケージに対して防御する、敏捷なシフトレフトのセキュリティ ソリューションを提供しています。さらに、JFrog Curation は、開発者を保護し、ソフトウェア サプライ チェーンのセキュリティを初期段階から強化するために設計されています。このソリューションは、モダンな DevOps ワークフロー向けに構築されており、要求または更新時にリスクまたは悪意のあるパッケージをダウンロードせずに、できるだけ早い段階でオープンソース パッケージの分析を提供します。これにより、開発者はシームレスなエクスペリエンスを得ることができ、日々のソフトウェア開発における摩擦が最小限に抑えられます。
既存の DevSecOps プラットフォームは、ソフトウェア開発者、セキュリティ チーム、および公共パッケージ リポジトリ間のギャップを埋めることがまだできていません。JFrog からいくつかはアドバイスを提供していますが、ダウンロードせずに自動的にポリシーと照らし合わせる (要求時に) ものはありません。JFrog Curation は、開発者にコードの記述中に摩擦のないエクスペリエンスを提供し、効率を向上させ、ソフトウェア開発パイプライン後の修正作業の時間を短縮します。
DevSecOps エクスペリエンスの向上とコストの削減
組織は、ソフトウェア サプライ チェーンのゲートで悪意のあるまたは望ましくないパッケージをフィルタリングするための手段がないことが多いため、頭を悩ませていることが多くあります。これにより、開発者は悪意性や脆弱性、運用上の危険性が高く、ライセンスポリシーと競合する可能性のあるパッケージをダウンロードするリスクにさらされます。これらの問題は、ソフトウェア開発ライフサイクル後になって初めて発見されることがあります。その際の是正コストが最も高くなります。
組織が安全かつコンプライアンスに保つために、信頼できる OSS パッケージのみをダウンロードして使用する手段を提供する解決策を模索していることも少なくありません。
サードパーティ パッケージのキュレーションを自動化
手動のキュレーション プロセスは手作業の分析と評価に多くの時間がかかり、開発者にとって数時間の研究が必要です。これには年に数千時間、何百万円ものコストがかかることもあります。代わりに、JFrog Curation を使用すれば、これをバックグラウンドで自動化して、シームレスに実行することができます。
開発前にパッケージをキュレーションすることで、開発者は効率的なコーディングと迅速なリリース時間のために前もってスクリーニングされたソフトウェアコンポーネントを自由に利用できます。ソフトウェア サプライ チェーンの入り口で望ましくないパッケージを自動的にブロックすることで、開発者にキュレーションされたリポジトリのセットを提供するだけでなく、失われる開発時間の節約と改善された市場参入時間においてコスト有効な取り組みとなります。
多くの開発者は、アプリケーション開発のスピードを損なうことなく、信頼できる OSS パッケージを使用していることを確信することができます。また、DevSecOps チームは、OSS パッケージの使用と承認を合理化できるようになりました。JFrog Curation は、アプリケーション セキュリティ チームをサポートするために、悪意のあるパッケージ、CVE、ライセンス タイプ、および運用リスク (年齢、成熟度、メンテナンスされていないパッケージ) に対して事前に構築されたカスタマイズ可能なポリシーを提供します。JFrog Curation により、ソフトウェア チームの不安が軽減され、脆弱性が組織に入る前に阻止することにより、DevSecOps チームへの信頼を提供します。
集中制御と可視性
JFrog はエンドツーエンドのアーティファクト ライフサイクル管理のパイオニアであり、そのコア テクノロジです。これにより、公共パッケージリポジトリ、開発者、本番環境、セキュリティのペルソナを効果的に結びつけ、エンドツーエンドのソフトウェア開発パイプラインの一元化されたガバナンスと制御を可能にします。
これにより、組織は自己の組織がダウンロードしたオープンソース パッケージを追跡および管理し、ソフトウェア開発パイプラインに有害なパッケージが入るのを防ぐための一元化された可視性と制御を得ることができます。
すべてのコードをシームレスに保護
JFrog は、業界をリードするセキュリティ研究による最先端のセキュリティ ソリューションを提供することで、今日のセキュリティ チームや開発チームのストレス レベルや作業負荷を軽減することを目指しています。開発リポジトリから悪意のあるパッケージ、脆弱性のあるパッケージ、リスクのあるパッケージを排除することで、開発者の時間と労力を節約し、ソフトウェア開発プロセスをスピードアップし、組織を何百万円も節約します。
JFrog Curation は、JFrog Xray と JFrog Advanced Security に加わり、業界初の DevOps中心のセキュリティ ソリューションである JFrog Platform を強化します。開発者、DevOps、セキュリティの各チームを統合し、統一されたソフトウェア サプライ チェーン プラットフォームに比類のない脆弱性とリスクの削減を提供しながら、DevOps ワークフローに入るバイナリを保護します。
JFrog Curation を SDLC プロセスに統合することで、セキュリティ脅威を早期にコスト効率よく削減し、継続的なエンドツーエンドのセキュリティを実現します。JFrog Curation の詳細と試用版をぜひお試しください。
