戻る
Paul Garden

Paul Garden

JFrog Partner and Industry Solutions

Paul heads up JFrog’s Industry Solutions function at JFrog and has a passion for sharing DevOps, Security, and Software Development best practices with enterprises, and the developer and security communities. He leverages 20+ years of experience in Product Management and Product Marketing to create impactful go-to-market campaigns and collateral. Driving usage and adoption of JFrog’s Software Supply Chain Platform is Paul’s primary focus. When he’s not helping developers and DevOps teams keep their software artifacts safe and secure; you can find him playing golf or wine tasting in the Santa Cruz Mountains.

The Latest From Paul Garden

  • JFrogとVdoo: より良い関係
    | 2 min read

    JFrog がソフトウェア脆弱性対策ソリューションを提供する Vdoo(ビドゥ) を買収した目的の1つは強靭なセキュリティを持つ Vdoo の技術をJFrog DevOps Platform に統合することです。 Vdoo のセキュリティ技術により、ソフトウェアおよびデバイスの脆弱性を検知し、さらにそれらの脆弱性の修正方法の提示、多数に及ぶ脆弱性の優先順位化、各種スタンダードとのセキュリティギャップを明確化できます。 これらのVdooの技術を JFrog DevOps Platform に統合することで、お客様のソフトウェア・ライフサイクル全体を踏まえた、「セキュアバイデザイン」「シフトレフト」といった効率的なセキュア開発プロセスが実現されます。 Vdoo のセキュリティ技術により、ソフトウェアおよびデバイスの脆弱性を検知し、さらにそれらの脆弱性の修正方法の提示、多数に及ぶ脆弱性の優先順位化、各種スタンダードとのセキュリティギャップを明確化できます。 どのような課題に対応するのでしょうか? 特に、組み込み製品や IoT 製品では、出荷後にソフトウェアをアップデートすることは容易ではありません。またいかなるソフトウェアでも開発最終段階でセキュリティ問題が発見されると、その修正には膨大なコストがかかります。この大きな課題への対策は、セキュリティを考慮した開発プロセスを構築することです。 どのような脅威に対応するのでしょうか? まず、既知の脆弱性を含んだソフトウェアを使用しないことです。OSS を使用することが当たり前である現在の環境下では、他者の作成したソフトウェアの脆弱性を短時間で検知するには、自動化された脆弱性検知ツールが必要です。また、自社作成のソフトウェアに潜在的な脆弱性がないかをセキュリティの見地から検査することも必要です。さらには OSS にはライセンス違反の脅威も常につきまといます。 Vdoo ソリューションによって、このような脅威を短時間で検知することが可能です。製品をセキュアにすることでユーザを守ることは企業信頼を高めます。セキュアバイデザインによりタイムリーな製品リリースを実現することは、マーケットで優位に立つ重要要素です。この二つを同時に実現することで、ビジネスの成功の必要条件を満たすことにつながります。   JFrogとVdooのリーダーが初めて共同で行ったウェビナーで、JFrogがVdooを買収した理由、プラットフォームのセキュリティとコンプライアンス 機能がどのように拡張されるのか、そして統合のスケジュールについて説明しました。 「私たちは将来にとても期待しています。私たちは、この機能をできるだけ早くお客様にお届けするために懸命に取り組んでいます。」とJFrogのCTO兼共同設立者であるYoav Landmanはウェビナー Vdoo & JFrog: Enhanced Security from Code to the Edgeの中で言っています。 開発、セキュリティ、運用の一体化 特に大規模な組織では開発、セキュリティ、運用チーム間に断絶や不信感が生じることがよくありますが、彼らを結びつけるものはランタイムバイナリです。開発者はこれを作り、セキュリティ担当者はこれをスキャンし、運用担当者はこれをデプロイして監視するのです。 「それが共通点です」とLandmanは言っています。この点がJFrogはVdooと相性が良いと判断した主な理由です。どちらもバイナリにフォーカスしているからです。 VdooのCEO兼共同設立者であるNati Davidiは「バイナリが全てだ」と述べています。「バイナリを見ることは何が重要かを理解する唯一の方法です。」 バイナリに焦点を当てたVdooは真のコンテキスト分析を行い、誤検知率を劇的に減少させ、優先すべき最も重要な問題をピンポイントで特定し、セキュリティやコンプライアンスのギャップを生む可能性のある設定ミスなどの死角を削減します。 同様に重要なのはバイナリに注目することがアタッカーを真に理解する唯一の方法だということです。 JFrogとVdooはソフトウェア・セキュリティの重要な側面をすべてカバーすることで、開発、セキュリティ、運用の各チームに組織のソフトウェア・セキュリティとコンプライアンスのニーズ全体に対する包括的なテストと分析のための単一ソリューションを提供します。 これによって組織は強調して統一された DevSecOps 戦略とアプローチを持つことができ、すべてのチームが一体となって働き、同じ具体的な証拠と指針に基づいて意思決定を行えるようになります。…

    さらに見る

  • Xrayの依存関係とバイナリスキャンを開発環境で
    | 2 min read

    セキュリティをシフトレフトするということは 開発者がSDLCの早い段階で脆弱性とライセンス違反を認識して修正することを意味します。そのため、XrayはビルドによってArtifactoryにプッシュされたバイナリをスキャン し、依存関係に問題がある場合に警告します。 しかし、コードをチェックする前であっても、それらをより早く認識することはシフトレフトする開発者にとって重要なことです。そこで、Xrayの機能を拡張し、JFrog CLIからローカルファイルシステムのディレクトリにあるソースコードやバイナリをオンデマンドでスキャンできるようにしました。 これらのユースケースが必要とされる理由をご紹介します。 すべてのバイナリがArtifactoryに保存されているわけではない Artifactoryにアップロードする前にビルドの脆弱性とライセンス違反を発見することができる セキュリティ担当者は送られてきたバイナリをスキャンして確認する必要があるかもしれない 承認されたバイナリのみをArtifactoryに配置したい これらのJFrog CLIの機能により、開発者やセキュリティチームなどはアプリケーションがArtifactoryの信頼できる唯一の情報源の一部となる前に、脆弱性とライセンス違反を防ぐことができます。 Xray依存症スキャン XrayはJFrog CLIを使用し、ソースの依存関係にある脆弱性やライセンス違反をスキャンする機能を提供します。このコマンドラインツールはコンパイル、テスト、Artifactoryへのデプロイを必要とせず、いつでもどこでも実行できるソースディレクトリのスキャンを可能にし、問題に対処するための貴重な時間を節約します。 CLIを使用した場合、XrayはArtifactoryリポジトリと同じ方法で依存関係をスキャンします。このコマンドは依存関係で発見された脆弱性やライセンス違反を含む詳細なスキャンレポートを返します。この機能には次のようなメリットがあります。 Artifactoryにアップロードする前のビルドに脆弱性やライセンス違反を開発者がコードを書きながら確認できる Artifactoryにアップロードすることなく、アドホックなセキュリティスキャンを実行することができる バイナリやソースをArtifactoryにアップロードする前に承認する必要があるなど、組織の基準を遵守できる 現在、これらのJFrog CLIへの追加機能はMaven、Gradle、NPMパッケージのソーススキャンのみをサポートしています。 どのような仕組みになっているのか? コマンドラインからスキャンを開始する為にソースファイルを含むトップレベルのディレクトリに変更する必要があります。その後、JFrog CLIコマンドを実行し、ファイルのXray依存性スキャンを行います。 一度に監査を実行できるのは1種類のプロジェクトのみです。ソースコードのMavenプロジェクトのスキャンを実行し、すべての脆弱性を報告する場合は以下になります。 $ jfrog xr audit-mvn また、Xrayでポリシーが適用されたウォッチ、プロジェクト、リポジトリのパスを指定し、Xrayのポリシールールをスキャンに適用することができます。例えば「watch1」で使用したポリシールールのセットをMavenプロジェクトのスキャンに適用する場合は以下になります。 $ jfrog xr audit-mvn --watches "watch1" 処理完了後、デフォルトではこれらのセキュリティとライセンスポリシーに違反する依存関係のレポートが作成されます。 JFrog CLIでは代わりにJSONファイルとしてレポートを作成することができるため、お好みのツールで処理することができます。 Xrayオンデマンド・バイナリスキャン コンパイル後に脆弱性を見つけて修正する必要がなく、時間の節約になるため、開発者個人または組織として開発中のソフトウェアをセキュアにコーディングしたいと思うかもしれません。前出の新しいスキャン機能と同様にオンデマンド・バイナリスキャンを行うためにJFrog CLIを使用します。 ローカルファイルシステムにあるバイナリを指定するだけで、そのバイナリの脆弱性とライセンス違反をレポートすることができます。JFrog CLIはXrayがArtifactoryでバイナリをスキャンするのと同様に、バイナリを抽出し、バイナリからコンポーネント・グラフを構成するロジックを含むクローズソース・コンポーネントをカプセル化しています。詳細についてはXray Security and Complianceを参照してください。CLIはバイナリで検出された脆弱性、違反、ライセンスの詳細なスキャン結果をレポートします。 現在、Dockerのバイナリスキャンはまもなくサポート予定ですが、その他すべてのパッケージタイプでサポートされています。 どのような仕組みになっているのか? Xrayオンデマンド・バイナリスキャンを実行する手順はソースファイル・スキャンと非常によく似ています。例えば「watch1」で使用したポリシールールをローカルファイルシステムのバイナリに適用する場合は以下になります。 $ jfrog xr s "path/to/files/"…

    さらに見る

  • JFrog ArtifactoryとXrayの新機能について
    | 2 min read

    要約 セルフホステッド版のDockerのレート制限、違反の抑止、新しいパッケージタイプのサポートなどの最新情報をご紹介します。 2020年は間違いなく最近の歴史の中で誰にとっても最も困難な年の一つでしたが、特にDevOpsの世界の人々にとってはそうでした。JFrogは同じペースで開発と革新を続け、お客様にさらに優れたエンド・ツー・エンドのDevOps体験を提供し、お客様がオンタイムのリリースを維持できるように努めてきました。 JFrog Platformに導入された新機能を詳しくご紹介します。 セルフホスティッド版のユーザのDockerレート制限 ご存知のように、Docker社はDocker Hubから取得されるコンテナイメージに対して、消費量に応じた制限を発表しました。具体的には匿名のフリーユーザは100回/6時間、認証されたフリーユーザは200回/6時間に制限されます。 JFrogとDockerのパートナーシップにより、無料サブスクリプション(AWS、GCP、Azureで利用可能)を利用するユーザーを含む、JFrog DevOps PlatformのクラウドユーザーはDocker Hubのイメージ取得制限はありません。 JFrog ArtifactoryでDocker Registry機能はDocker社が発表した最新のレート制限の変更に対応するため、以下の機能を最適化しています: HEADリクエストを使用 新しいデフォルトの検索用キャッシュ期間 強化されたログとメッセージ ダイジェストヘッダー(Docker Content Digest)を使用 ライセンス違反や脆弱性への対応 JFrog Xrayレポートはオープンソースパッケージ、ビルド、アーティファクトのXrayスキャンの結果を優先順位付けし、対策を講じることができます。各レポートは特定の時点でのOSSリスクのスナップショットを提供し、視覚的に分かりやすい方法で情報を表示します。 レポートの範囲は脆弱性のあるコンポーネント、影響を受けるアーティファクト、スキャン日、CVE ID、CVSS深刻度スコアでフィルタリングできます。また、修正を目的とし、「すべての脆弱性」、「修正プログラムがあるもの」、「修正プログラムがないもの」を表示するようにレポートすることもできます。 JFrog Xrayレポート レポートの種類 レポートは以下の通りです: 脆弱性レポートはアーティファクト、ビルド、ソフトウェアリリース(リリースバンドル)に含まれる脆弱性に関する情報、脆弱性のあるコンポーネント、CVEレコード、CVSSスコア、深刻度などの基準を提供します。 ライセンス・デュー・ディリジェンス・レポートは全てのコンポーネントとアーティファクトに関連するソフトウェア・ライセンスを提供し、使用しているコンポーネントとアーティファクトが企業のライセンス・ガイドラインに準拠しているかどうかを確認することができます。各コンポーネントに関連するすべてのライセンスタイプと不明なライセンスや認識できないライセンスが一覧表示されます。 違反レポートでは選択したスコープで見つかった各コンポーネントのセキュリティとライセンスの違反に関する情報を提供します。違反の種類、影響を受けるコンポーネント、アーティファクト、深刻度などが含まれます。また、そのスコープは高度なフィルターで定義されます。 Xrayレポートの特徴の一つに、脆弱なコンポーネントのインパクトパスがあります。コンポーネントは1つのビルドイメージ内の複数の場所に現れたり、複数のビルド内に現れたりします。Xrayは脆弱性のあるコンポーネントがソフトウェアに影響を与えるすべての場所を表示します。 脆弱性レポート例 レポートのパーミッション管理 この新機能をサポートするために、JFrog Platformに新しいパーミッションロールが追加されました。このロールはレポートの作成、編集、共有できる権限設定を可能にし、個々のユーザまたはグループレベルで割り当てることができます。 セキュリティ違反抑止の管理 JFrog Xray Ignore Ruleは不要な違反ノイズをフィルタリングするためにセキュリティ違反ルールをホワイトリスト、無視、承認することができます。ルールは以下のような理由で異なるチームやユーザーが無視することができます: すでに脆弱性を認識しているが、安全性を保つことができる場合 お使いの環境が違反の条件を満たしていない場合 脆弱性が致命的でなく、後で処理すれば問題ない場合 重要でない違反によりビルドやダウンロードが失敗してしまう場合 JFrog XrayのIgnore Ruleの設定 Ignore Ruleの粒度 Ignore Rule機能は幅広い柔軟性と粒度の高さを備えており、脆弱性/ライセンス、コンポーネント、アーティファクト、Watchに基づいて違反を無視することができます。そのため、無視したい内容を非常に細かく設定することができます。例えば特定のコンポーネント、特定のライセンス、特定のコンポーネントのバージョン番号などを設定することができます。 時間による無視…

    さらに見る

  • JFrog XrayとDevSecOpsの新機能について
    | 2 min read

    JFrog DevOps Platformの品質と機能を向上するため、特にDevSecOpsの世界では受賞歴のあるJFrog Xrayをさらに強化する強力な新機能を追加しています。 Xrayはオープンソースソフトウェアの脆弱性やライセンスのコンプライアンス違反を迅速かつ継続的に特定するために、世界中の開発者やDevSecOpsチームから信頼されているユニバーサルなソフトウェア構成分析(SCA)ソリューションとしての地位を確立しています。 ConanとC/C++サポート Xrayは業界唯一のユニバーサル・リポジトリ・マネージャであり、コンテナ・レジストリであるJFrog ArtifactoryにデプロイされたConanパッケージ、C/C++ビルドをスキャンします。ConanはC/C++言語用の依存性およびパッケージマネージャでフリーかつオープンソースであり、すべてのOSプラットフォームで動作します。また、CMakeやVisual Studioなどのあらゆるビルドシステムや独自のビルドシステムとも統合します。Conanの強力な特徴は、あらゆるプラットフォームや構成に対応したコンパイル済みのバイナリを作成・管理できることです。 XrayはConanとC/C++の主にこれら4つのユースケースをサポートしています。 ConanCenterからArtifactoryにダウンロードされたパッケージをスキャン ArtifactoryにアップロードされたConanで作成されたパッケージをスキャン Conanパッケージを構築し、XrayをCIプロセスに統合している場合、それらのConanビルドをスキャン Conanを未使用でもC++のビルドをスキャン CVSS v3サポート CVSS(Common Vulnerability Scoring System)はソフトウェアのセキュリティ脆弱性の深刻度を評価するためのオープンな業界標準です。このスコアリングアルゴリズムは悪用の容易さと影響を近似的に示すいくつかの指標を用い、セキュリティ脆弱性に深刻度のスコアを割り当てます。Xrayは以下の2つの異なるソースからスコアと深刻度を収集します。 NVD: National Vulnerability Databaseには既知の脆弱性がそれぞれのCVSSスコアとともに登録されています OS Package Security Advisory: いくつかのオープンソース・オペレーティング・システムはオペレーティング・システム・パッケージ内の脆弱性をさらに分析した独自のセキュリティ・トラッカーを保持しています スコアレンジと深刻度レベル その目的は脅威のレベルに応じた対応やリソースの優先順位を決められるようにすることです。スコアは0から10まであり、10が最も高い深刻度となります。CVSS v3では次のような深刻度の説明もあります。 Critical High Medium Low Unknown Xrayで設定したセキュリティルールはXrayのポリシーとルールの作成で説明したように違反に対するCVSS v3スコアまたは深刻度レベルに対して測定されます。Xrayは引き続きCVSS v2スコアリングをサポートしますが、CVSS v3スコアが利用できない場合にのみ使用します。 Red Hat Security Scanner認定 JFrog XrayはRed Hat Partner Vulnerability Scanner認定プログラムに統合パートナーとしてRed Hatから認定されました。認定を受けたことで、JFrog Xrayによって特定されたセキュリティ脆弱性とライセンスコンプライアンスのデータが正確であり、Red Hatパッケージに対して期待される結果と一致していることが保証され、信頼できる認定ソースに基づいた正確なリスク評価が可能になります。これは、RPMパッケージを使用している企業が自信を持って、JFrog PlatformをDevSecOpsプラットフォームとして使用できることを意味します。…

    さらに見る

  • 正しいDevSecOpsソリューションを評価し、選択するための7つのヒント
    | 2 min read

    多くの企業がDevOpsパイプラインにセキュリティを統合することの重要性を認識しているため、DevSecOps製品への需要は非常に高まっています。しかし選択肢を探してDevSecOps市場に飛び込んだITおよびDevOpsのプロはすぐにDevSecOpsツールやフレームワークの数が膨大で混沌としていることに気付きます。このような選択肢の多さから、どのセキュリティソリューションを選択すべきか、どのようにしてソフトウェア開発パイプラインに統合すべきかを理解しようとする場合、意思決定の疲労や分析の麻痺に陥ることがよくあります。 しかし、そもそもなぜDevSecOpsが注目されるようになったのでしょうか?イノベーションのペースに追いつくため開発者はオープンソースソフトウェア(OSS)の利用を飛躍的に増やし、今ではアプリケーション開発パイプラインでの利用が広まっています。より多くのソースコードが「外部」から送られてくるようになったため、その内容を把握し、理解する必要性は今やミッションクリティカルなものになっています。 このブログ記事ではOSSに含まれている可能性のある脆弱性を軽減するために最も効果的なツールや技術の種類を見ていきます。次に特にソフトウェア構成分析(SCA)の分野において市場で利用可能な多くの異なるオプションを評価する際に、米とモミ殻を分離し、より良く、より多くの情報に基づいた意思決定を行うための役立つヒントを共有します。 現代の開発の実態 今日の典型的なアプリケーションの90%近くが公開されているオープンソース・ライブラリのOSSコンポーネントで構成されています。この傾向はアプリケーションに存在する脆弱性の数を増加させており、その結果として悪用や侵害の数も増加しています。企業はDevOpsパイプラインに統合された、より多くのセキュリティチェックを追加することで対応しています。 しかし、セキュリティのプロや開発者は本番ソフトウェアの安全性と安定性を確保するために、どのような種類のツールが本当に必要なのでしょうか?公平に考えればソフトウェア開発ライフサイクル(SDLC)のさまざまな領域に対応する DevOpsセキュリティツールには大まかなカテゴリがあります:  コード分析(静的・動的) ソフトウェア構成分析(サードパーティのOSS用) ランタイムセキュリティ解析(コンテナを含む) 理想的にはチームは完全なSDLCセキュリティのために、これらの領域をすべて採用することを目指すべきですが、このブログではOSSコンポーネントやバイナリの脆弱性やライセンスコンプライアンス違反の軽減を具体的に対象としたソフトウェア構成分析に焦点を当てていきます。  DevSecOpsの7つの必須事項 ここではDevSecOpsツールを選択する際に確認しておくべき7項目をご紹介します: すべてのアーティファクトをネイティブに管理・解釈ができるツール チームがどのOSSコンポーネントに脆弱性があるかを特定する作業を行う前に、まず基本的な要件として、その種類や技術に関係なく全てのアーティファクトとバイナリを一元的に管理できるユニバーサルなDevOpsプラットフォームが必要です。DevOpsプラットフォームは、どのアーティファクトが使用され、消費され、作成され、そしてそれらの依存関係が何であるかを分かる必要があります。  最高の燃料を手に入れる 最も効果的なソリューションを実現するためにVulnDBのような世界クラスの脆弱性インテリジェンスなソースの力を借りて、最新の脆弱性に関するナレッジを確実に備えておく必要があります。世界で最も優れた車は、それを推進するための優れた燃料がなければ意味がありません。 可視性とインパクト分析を実施する   DevSecOpsの「勝者」はバイナリが使用しているOSSライブラリやコンポーネントだけでなく、zipファイルやDockerイメージにパッケージされているものであっても、それらを解凍してスキャンし、全てのレイヤーや依存関係を確認する方法もを理解できる必要があります。組織のアーティファクトと依存関係構造を理解できるソリューションは可視性を提供し、ソフトウェアエコシステムのあらゆる場所で検出された脆弱性やライセンス違反の影響を判断することができます。 コンテナとクラウドネイティブ・フレームワークのサポートが必要 ソリューションはクラウドネイティブデプロイメントのデファクトスタンダードになりつつあるコンテナベースのリリースフレームワークをサポートする必要があります。コンテナ技術を再帰的に判断し、各レイヤーへ詳細な調査できれば脆弱性が検出できないことはありません。残念ながら、一部のスキャンツールはコンテナをサポートしていない場合やコンテナのさまざまなレイヤーと全ての依存関係を理解していないものもあります。 ガバナンスの自動化 ガバナンスに関しては企業のセキュリティオフィスと連携して自動化できることです。ガバナンスシステムは企業のポリシーを自動的に実行し、それに応じたアクションを介入なしに実行できなければなりません。主な機能は以下の通りです: 電子メール、インスタントメッセージ、Jiraなどの各種チャネルを介したセキュリティやコンプライアンス違反の通知 ダウンロードのブロック 脆弱なコンポーネントを含むビルドの失敗 脆弱性のあるリリースバンドルのデプロイ防止 パイプラインを横断する DevSecOpsにおける差別化要因は、この網羅的なデータを取得し、リポジトリ、ビルド、コンテナにまたがる全てのバイナリのセキュリティスキャンに紐付けることができるソリューションになるでしょう。SDLC全体にまたがることができ、本番環境へのデプロイ後も脆弱性やコンプライアンス違反を継続的に検出・監視できるプラットフォームは群を抜く存在となるでしょう。  ハイブリッド化 ハイブリッド・インフラストラクチャをまだ所有していなくても、これからは所有することになるでしょう。現在進行中のクラウド・ジャーニーとインフラストラクチャのハイブリッド化をサポートするツールとソリューションを今すぐ選択することで、どこにいてもDevSecOpsパイプライン全体で一貫性と標準を確保することができます。 終わりに際して DevSecOpsはもうCIOのウィッシュリストではありません。今やDevSecOpsはSDLCの不可欠な一部として必須のIT戦略となっています。組織が適切なDevSecOpsソリューションを選択した場合でもリーダーはチーム全体で健全なDevSecOpsプロセスを実装していることを確認する必要があります。これにはアプリケーション・セキュリティのベストプラクティスについて、開発者とDevOpsの実践者を継続的に教育する必要性も含まれます。開発者の数はセキュリティ専門家の数よりも250倍も多いため、脆弱性のギャップを埋めるためには開発チーム全体にセキュリティの知識を行き渡らせることが不可欠です。 リポジトリ、バイナリ、CI/CD自動化、OSS構成分析を管理でき、コンテナ化されたリリースフレームワークをサポートするDevSecOpsプラットフォームを選択することは困難な作業に思えるかもしれません。またオンプレミス、クラウド、マルチクラウド、ハイブリッドのデプロイメントをサポートすることは更に複雑な作業となります。しかし、今回ご紹介したソリューションに求めるべき事項のチェックリストを出発点として検討してみてはいかがでしょうか。この7つのヒントがベンダーに正しい質問をし、マーケットのノイズを断ち切り、十分な情報に基づいた意思決定を行うための確固たる基盤となることを願っています。

    さらに見る

  • XrayとArtifactoryでDevSecOpsに対応する4つのメリット
    | 2 min read

    DevOpsにて利用される様々なツールに対応すること(ユニバーサル)がJFrog Artifactoryの特長の一つです。CI/CDパイプライン自動化のためにJenkins、CircleCI、Bitbucketを利用しているかどうかに関係なく、Artifactoryはそれらのツールはもちろん、他のツールとも連携して動作します。また、アーティファクトの保存先もオンプレミス、クラウドのいずれの場合でもArtifactoryの管理下に置くことができます。対応するクラウドの種類についても Artifactoryは主要なクラウドであるAWS, GCP, Azureに対応しています。 Artifactoryは、現在使用しているツールと共に動作しますし、ツールの変更があっても新しいツールとの併用可能です。 私たちはセキュリティスキャンツールであるJFrog XrayをDevSecOpsにおいてArtifactoryを補完する役割を担う製品としました。JFrog Xrayという選択肢が必要となる理由について記載します。 リポジトリマネージャーにとって重要な理由 Artifactoryの特長を受け継ぎ、Xrayもユニバーサルとなっており、多くのパッケージの種類をサポートします。 Maven、Gradle、npm、NuGet、RubyGems、Dockerなどいずれを使用していても、Xrayはリリースされたビルドからセキュリティリスクを排除するとともに、ライセンスポリシーへの準拠まで保証します。 セキュリティへの懸念はスタンドアローンで留まることはないため、Xrayもスタンドアローンには留まりません。DevSecOpsにおいて脆弱性の検知を行うためには、ビルド時のトレーサビリティを必須とします。セキュリティとライセンス準拠への対応は後からでは手遅れとなります。そのため、これらはアーティファクト管理システムにしっかりと組み込む必要があります。それにより、万が一、アプリケーションの脆弱性を見つけた時には、発生源や他のコンポーネントへの影響をチェックできるのです。 シフトレフト戦略をきちんと成功させるには、SDLC(システム開発ライフサイクル)全体でバイナリリポジトリマネージャーとセキュリティスキャンを連携させる必要があります。主なメリットは以下のとおりです。 1. Artifactoryとネイティブに統合 他のJFrog製品と同様に、Xrayは仮想マシンやKubernetesクラスタへ簡単にインストールできます。セットアップも簡単で、すぐに起動して実行できます。複雑な統合の設定等は必要ありません。XrayにArtifactoryのURLを指定し、ライセンスキーを入力するだけで開始できます。 Xrayをインストールして実行するとArtifactoryからすぐにアクセスできるようになり、セキュリティやライセンススキャンを行うリポジトリを有効にできます。新しい設定や学習しなければならないUIはありません。SDLCパイプラインのアーティファクトを監視するために今まで使用してきたものと同じです。Xrayを使用すれば、Artifactoryで各アーティファクトについて確認できます。 ArtifactoryやXrayのアップデートも心配ありません。それぞれが補完し合うツールとして常に適切に統合されているため、統合するためにシステムを停止したり長時間の検証テストを行う必要はありません。この2つの製品が統合されることで多くの機能がアップデートされてシームレスに連携します。 2. 過激なまでの透明性 Artifactoryを直接Xrayに接続すると、すべてのリポジトリがセキュリティスキャンされ、ソフトウェアコンポーネントアーキテクチャに対して過激なまでの透明性を提供します。 システム内の全コンポーネントに対してXrayの再帰スキャンを実行するようにArtifactoryのリポジトリを設定し、ソフトウェアに影響を与える最小単位のバイナリまで掘り下げて分析します。 さらにXrayはリポジトリ内にある既存のコンポーネントを継続的にスキャン・分析するので、実際の稼働環境に既に導入済みのものに対しても脆弱性を発見した際には通知します。 このようにXrayはArtifactoryとネイティブに統合されているので、アーティファクト単体だけでなく、アーティファクトの関係性まで継続的に分析できることが強みです。これにより、ビルドを構成するパッケージとバイナリに過激なまでの透明性が生まれます。 3. 脆弱性の影響についての分析 Xrayがリポジトリに脆弱性を持ったアーティファクトがあると発見した場合、そのコンポーネントが社内にあるすべてのコンポーネントにどんな影響があるのかを明らかにする情報を提供します。ではそのデータをどうやって理解すればいいのでしょうか? Artifactoryはリポジトリマネージャです。Xrayと連携し、これらの結果を分析することでコンポーネントの脆弱性が他のコンポーネントに与える影響を把握できます。 Artifactoryは脆弱性のあるバイナリの影響の連鎖をグラフで表示して、Xrayからの情報を可視化します。これにより、脆弱性のあるコンポーネントを使用した場合の結果をわかりやすく包括的に把握できます。 4. エンドツーエンドのサポート ソフトウェア開発パイプラインの中心的な存在として、Artifactoryは最初のビルドからステージング、そしてリリースまでアプリケーションのすべてのコンポーネントを把握しています。XrayがArtifactoryにネイティブに統合されているため、ソフトウェア開発ライフサイクル全体のセキュリティ監視がエンドツーエンドで行われます。 Xrayはリリースを迎えた後もユーザーを保護します。Artifactoryのリポジトリから本番環境に置かれたアプリケーションのスキャンを続け、新たに発見された脆弱性についても探し続けます。さらにKubeXrayを使うことにより、Kubernetesクラスタで現在実行されているコンテナのアプリに対してまでXrayのスキャン対象範囲を広げることができます。 ソフトウェアの変更が加速するにつれて、新しい脆弱性がますます早いペースで発見されています。それに対抗するにはDevOpsパイプライン全体をカバーするための継続的なセキュリティ対策が必要です。 リスクは決してなくなることはありませんが、ArtifactoryもXrayも休むことなく監視し続けます。 DevOpsのセキュリティのためにJFrog製品をぜひお試しください。

    さらに見る