コード内のセキュリティ脆弱性をブロックするには

ソフトウェアの継続的デプロイが広まり業界の標準として受け入れられるようになると、セキュリティはこれまで以上に重要となります。開発から運用にいたるまで、組織内のすべてのチームがセキュリティの用件を満たす必要があります。

JFrogのIDEインテグレーションはIDEから直接セキュリティとコンプライアンスをチェック可能なソリューションを開発者に提供します。プラグインや拡張機能を使用することでユーザーはプロジェクトの依存関係をスキャンし、開発中にセキュリティの脆弱性とライセンスのコンプライアンス違反を知らせてくれます。

サポートするIDE環境

JFrogは4つのIDE環境をサポートしており、すべて同じ機能で動作します。

• Visual Studio Code – Maven、Python、Go、npmプロジェクトの依存関係をスキャン
• IntelliJ IDEA – Maven、Gradle、Go、npmプロジェクトの依存関係をスキャン
• Eclipse – Maven、Gradle、npmプロジェクトの依存関係をスキャン
• Visual Studio – NuGetプロジェクトの依存関係をスキャン

プラグインや拡張機能に含まれるもの

インストールすると画面にJFrogタブが表示されます。JFrogパネルにはプロジェクトの直接的な依存関係がトップレベルにツリーとして表示され、そこからさらにドリルダウンすると依存関係を表示できます。例えばVisual Studio Codeでは以下のように表示されます：

JFrog Xrayはプロジェクト内の依存関係に変更があるたびに自動スキャンを実行します。依存関係をクリックすると検出された問題の種類、深刻度のレベル、バージョン、ライセンス、問題の概要などの詳細が表示されます。例えばIntelliJ IDEAでは以下のように表示されます：

また、深刻度の高いものは赤で表示するといったように色分けしてフィルタリングすることも可能です。さらに依存関係に脆弱性や違反がある場合、その親である依存関係もすべて脆弱性があるとマークされます。この表示を検証することで、脆弱性の原因である依存関係をピンポイントで特定することができます。

ツリー内の依存関係からエディター定義に画面遷移できます。

依存関係を検索したり、エディターで依存関係にカーソルを合わせるとその情報について素早く表示したり、pom.xml、package.json、requirements.txt、go.modから直接ライセンスを表示するなどその他にも多くの便利な機能があります。

セキュアなシフトレフトアプローチ

安全性の高いソフトウェアをいち早く提供するには、DevOpsワークフローに関わるすべてのチームの努力が必要です。より多くのツールを備えたDevSecOps戦略の一環としてシフトレフトアプローチを採用することで、開発者はセキュリティの脆弱性やライセンス違反などの潜在的な脅威を初期段階で阻止できます。これにより開発チームは潜在的なリスクを引き起こす前にあらゆる問題を簡単に軽減することができ、長期的には時間とコストの節約につながります。

JFrog Xrayをまだ使い始めていない場合はJFrogのWebサイトから無料の体験版をダウンロードできます。ぜひお使いの環境でお試しください。