ソフトウェア サプライ チェーンのセキュリティは、組織にとって最重要課題となっていますが、それには十分な理由があります。CVE (Common Vulnerabilities and Exposures、共通脆弱性識別子) の公開件数が増加する中、開発者はこれまで以上に迅速にソフトウェアを提供するという課題に直面しています。しかし、スピードを追求するあまり、多くの開発チームやセキュリティ チームはその場しのぎのセキュリティ ソリューションに頼りがちで、重大なカバレッジ不足により競争上の優位性を損なっています。
この差し迫った問題に対処するため、チームはソフトウェア サプライ チェーンのセキュリティを包括的に管理し、総合的に可視化する必要があります。そこで、JFrog Security の出番です。業界唯一の DevOps 中心のセキュリティ ソリューションである JFrog は、開発者、運用チーム、セキュリティ チームを統合し、ソフトウェア サプライ チェーン全体をエンドツーエンドで保護します。このブログでは、JFrog Security の概要、DevOps チームとセキュリティ チームによる利用方法、ソフトウェア配信プロセスにもたらす価値について説明します。
ソフトウェア サプライ チェーンのエンドツーエンドのセキュリティを実現
非常に多くの部分が連動しているため、ソフトウェア サプライ チェーンには悪意のある攻撃者が侵入する機会が溢れています。ソフトウェア サプライ チェーンにおけるあらゆる侵害は、重要な機能を妨害するための侵入口として利用される可能性があります。
開発者は、使用するソフトウェアのほとんどをオープンソースや商用のリポジトリから取得し、セキュリティやコンプライアンス上の問題が含まれていないことを盲信しています。セキュリティ リスクは、開発者がインターネットからライブラリをダウンロードし始めた瞬間から始まります。サードパーティ製コンポーネントのほとんどには脆弱性やその他のセキュリティ上の問題があり、そのうちの 30% 以上が NVD (National Vulnerability Database、米国国立標準技術研究所 (NIST) が運営する脆弱性データベース) によって「高」または「重大」にランク付けされています。
セキュリティ ポイント ソリューションとプラットフォーム アプローチ
ソフトウェア サプライ チェーンのセキュリティに関しては、個々のセキュリティ ポイント ソリューションに依存するよりも、プラットフォーム ソリューションを選択するほうが複数の利点が得られます。プラットフォーム ソリューションは、セキュリティに対する包括的かつ統合的なアプローチを提供し、ソフトウェア サプライ チェーン全体を一元的かつ統合的に把握することができます。この総合的な視点により、ソフトウェア開発ライフサイクル全体を通じて、セキュリティ リスクの可視性と制御性が向上します。
さらに、プラットフォーム ソリューションは、セキュリティ プラクティスとポリシーの一貫性を確保し、複数の異なるツールを管理する必要性をなくし、複雑さを軽減します。JFrog のようなプラットフォーム ソリューションを選択することで、組織はセキュリティへの取り組みを合理化し、開発、運用、セキュリティの各チーム間の連携を強化し、最終的に総合的なセキュリティ体制を強化できます。
JFrog Security の機能
JFrog Security は、JFrog Software Supply Chain Platform にネイティブに統合されており、ソフトウェア構成分析 (SCA)、コード スキャン (SAST) 、コンテナー スキャン、高度なスキャナーによる CVE の優先順位付け、オープンソース ソフトウェア パッケージのキュレーションに特化しています。
JFrog Security は、依存性の宣言という早い段階でセキュリティの脆弱性とライセンス コンプライアンス違反を特定し、組織に侵入する前であっても悪意やリスクのあるオープンソース パッケージのダウンロードをブロックできます。また、重大度が「高」または「重大」 の CVE、運用上のリスク、悪意のあるパッケージ、シークレットや不十分な設定のサービスなどの特定の暴露により、セキュリティ上の脅威を引き起こす可能性のあるビルドの作成をブロックすることもできます。このツールは、アーティファクト リポジトリ、CI/CD ツールやプロセス、あるいは統合開発環境など、ソフトウェア開発ライフサイクル (SDLC) 全体を通してセキュリティ対策を実施することを可能にします。
JFrog Security には、以下の機能が含まれます。
ソフトウェア パッケージ キュレーション
JFrog Curation は、オープンソースのセキュリティ脅威が組織に侵入するのを阻止することで、ソフトウェア サプライ チェーン全体のセキュリティ対策を強化するパッケージ キュレーション ソリューションです。ソフトウェア サプライ チェーンの最初からソフトウェア開発ライフサイクルにシームレスに統合されるため、チームは常に信頼できる、リスクの低い、最新のパッケージを使用していることを確信できます。
静的アプリケーション セキュリティ テスト (SAST)
SAST は長年利用されてきましたが、誤検知が多すぎる、スキャンに時間がかかる、単一ソースファイル以上の分析ができない、などの大きな欠点がありました。また、SAST ツールは統合が難しく、多くの場合、エンドツーエンドのパイプライン プロセスと適切に統合されていませんでした。JFrog SAST ツールは、Advanced Security のユーザーに、バイナリだけでなく、生成 AI によって生成されたコードを含む、開発者が作成するコードに対する包括的なセキュリティを提供します。また、JFrog SAST は軽量で、開発者の速度を低下させません。
ソフトウェア構成分析 (SCA)
最近のアプリケーションは、ネイティブ コードだけで構築されることはほとんどありません。オープンソース パッケージの可用性が高まったことで、チームはアプリケーション開発を加速できるようになりましたが、その一方でセキュリティ リスクも高まっています。SCA は、依存関係にセキュリティの脆弱性がないかどうかを迅速にスキャンするため、開発チームが使用するアプリケーション セキュリティ手法です。バイナリ レベルでコードの脆弱性をスキャンすることで、JFrog Security は、コードから本番環境に至るまで、すべてのソフトウェア要素が安全でコンプライアンスに準拠していることを保証します。
シークレット検出
シークレットとは、機密システムにアクセスするための重要な機密情報のことです。API キー、パスワード、その他の認証情報など、シークレットはソフトウェア開発プロセスのコンポーネントを認証し、保護する上で重要な役割を果たします。JFrog Security のシークレット検出は、Artifactory に保存されたアーティファクトやビルドで公開状態になっているシークレットを検出し、内部トークンや認証情報の偶発的な漏洩を防ぎます。さらに、JFrog Security は実行可能な情報を提供するので、自信を持って次のステップに進むことができます。
コンテナー スキャン
コンテナー スキャンは、コンテナー内のすべてのレイヤーをスキャンして、イメージとコンポーネント内の個々の脆弱性を特定するプロセスです。SCA ツールに関して開発者が抱える最も一般的な悩みの 1 つは、結果が多すぎるために、開発者が実際にはリスクのない脆弱性を修正しすぎてしまうことです。JFrog のコンテナー スキャン ツールを使用することで、開発者は「すべてを修正する」のではなく、最小限の労力で適切な脆弱性に絞って修正できます。
IaC (Infrastructure as Code) セキュリティ
IaC セキュリティとは、すでに展開されているクラウド リソースではなく、インフラストラクチャ コード レイヤーでクラウド構成の問題に対処するベスト プラクティスを指します。JFrog の IaC セキュリティには、実行時の脆弱性を軽減するため、問題を早期検出する、スケーラブルで一貫したクラウド セキュリティ カバレッジが組み込まれています。これにより、組織はアーティファクト リポジトリ、CI/CD ツールとプロセス、さらには統合開発環境に至るまで、SDLC 全体にわたってセキュリティ対策を強化できます。
高度なセキュリティ スキャン
JFrog Advanced Security は、JFrog Xray の機能を拡張し、SCA の範囲を超えたソフトウェア サプライ チェーンのセキュリティ確保を支援する革新的な機能の包括的なセットを提供します。基本的に、JFrog Advanced Security は、ソフトウェア サプライ チェーンのセキュリティを強化し、セキュリティ侵害の可能性を最小限に抑え、全体的なセキュリティ体制を強化します。
コンテキスト分析
パッケージのスキャンにより、数千もの脆弱性が見つかる可能性があります。このため、開発者は長いリストを精査してこれらの脆弱性の関連性を特定するという面倒な作業が必要になりますが、その多くはアーティファクトに影響を与えない可能性があります。Vulnerability Contextual Analysis は、アーティファクト コンテキストを使用して、関連性のない脆弱性に関する誤検知レポートを削除します。このプロセスには、分析された脆弱性の到達可能なパスを見つけるため、コンテナー上で実行される自動スキャナーが含まれており、特定のアーティファクトに適用される脆弱性とその修復方法を特定するのに役立ちます。
他の JFrog 製品や幅広いエコシステムとの統合
JFrog Security は、JFrog Artifactory とネイティブに統合され、JFrog Software Supply Chain Platform を形成します。実際、これらは、包括的なソフトウェア アーティファクト管理プラットフォームに統合された唯一の総合的なアプリケーション セキュリティ スキャン ツールです。
JFrog Security は、Artifactory に保存されている豊富なメタデータへのアクセス、ディープ バイナリ スキャン、革新的なセキュリティ機能との組み合わせにより、ソフトウェア サプライ チェーンのセキュリティ分野で唯一無二の存在と言えます。このツールを使用することで、開発者はバイナリ アーティファクト間の関係を分析し、コンポーネント アーキテクチャに対する透明性を得ることができ、あるコンポーネントの脆弱性が他のコンポーネント、ビルド、リポジトリにどのように影響するかを明らかにできます。
さらに、JFrog Artifactory のようなバイナリ アーティファクト リポジトリはプロキシ サーバーとして機能し、ソフトウェア開発とデプロイメント プロセスのセキュリティを大幅に強化できます。プロキシ サーバーは、開発環境と外部リポジトリの間を仲介し、アーティファクトをローカルにキャッシュして保存することで、外部ソースへの依存を減らし、外部の脅威のリスクを軽減します。
まとめ
ソフトウェア構成分析、コンテナー スキャン、シークレット検出、CVE の優先順位付け、サービスと構成の暴露、ソフトウェア パッケージのキュレーション、静的アプリケーション セキュリティ テストなど、さまざまな機能を備えた統合 JFrog Software Supply Chain Platform で、現在利用可能な最も DevOps 中心の包括的なセキュリティを体験してください。
JFrog Platform の無料体験版のご利用については、以下よりお問い合わせください。
記事参照: What is JFrog Security?
