ソースからデバイスまで開発者とセ キュリティチームを統合するVdoo 社の買収を合意
JFrogはバイナリやIoT/デバイスにルーツを持つイスラエルを拠点とするセキュリティ製品のリーディングカンパニーであるVdoo社の買収に合意したことを発表でき大変嬉しく思います。Vdoo社のチームと技術ポートフォリオ全体をJFrogに組込み、開発チームとセキュリティチームを完全に統合した包括的なセキュリティアプローチを実現するソリューションを提供します。
現在、大多数の企業で DevOpsプロセスによって連携される以前のソフトウェア開発パイプラインと同様の個々のシステムでセキュリティに対応しています。ソースコード分析、脆弱性の優先順位付け、ネットワークセキュリティ、Kubernetesセキュリティ、規制遵守、ポリシー厳守などのために、セキュリティツールとそのデータを維持・統合することは問題を「改修」する開発チームと問題の特定と解決するための最適なアプローチのために無数のデータソースとツールを扱うセキュリティチームとの間に摩擦を生じさせます。
なぜ買収を計画したのか?
Liquid Softwareのビジョンである「あらゆるソースからあらゆるデバイスへ、シームレスかつセキュアにソフトウェアが流れる」を実現するために、開発チームが最小限のノイズで、迅速かつ自動化された実用的な修復機能を備えていなければなりません。同様にセキュリティチームはアプリケーションのコンテキスト(ネットワーク構成、セキュリティ要件、オペレーティングシステムの設定など)を統合的に把握する必要があります。また、パートナーやベンダーがオープンソースや独自開発のコードに存在するゼロデイ脆弱性に対して、それがニュースになる前に発見してくれるものと信頼しています。
そのため、JFrog Xrayはコーディング、ビルド、プロモーション、デプロイなどの開発ワークフローに統合された業界最先端のスキャン機能を既に提供しています。私たちはVdooがJFrog Platformにもたらすセキュリティの包括的でインテリジェントなビューにより、これらの機能を拡張したいと考えました。これはバイナリやイメージだけではなく、バイナリが実行される環境も調査する包括的なアプローチとして、コンテキスト脅威分析や重要なセキュリティギャップに優先順位をつけるアプリケーションスキャン、コード、サービス、オペレーティングシステムの変更をカバーするインテリジェントな修復、組込みソフトウェアセキュリティ、新しい脆弱性、マルウェア、エクスプロイト、バックドア、サプライチェーンリスク、その他の脅威を自動的に検出するゼロデイ脆弱性検出、更にIoTや組込みデバイスのランタイム保護、エクスプロイトの試みをリアルタイムで警告、ブロックする機能が含まれます。
これらの新機能はソフトウェアのリリースを構成し、ランタイムに至る信頼できる唯一の情報源であるバイナリに焦点を当てるというJFrogの哲学に適応し、セキュリティ分析のための最も信頼できるものとなります。
このようにバイナリを包括的に調査し、スマートな提案を行うことでDevOpsチームやセキュリティ担当者はセキュリティリスクを修復する際の「ノイズ」が減り、調査結果に妥協せずにシフトレフトができ、これらの多くの要因の中から問題を解決するための最も適切な問題にフォーカスできるようになります。
更にVdooはJFrogが組込みソフトウェアやデバイスにより良いサービスを提供するための機能を提供し、CI/CDプロセスにデバイスセキュリティを導入するため、JFrogはこの動きで「シフトライト」します:
- ほとんどのベンダーができないコンパイル済みのC/C++ソフトウェアをスキャンし、これらのコンポーネントのセキュリティリスクを特定
- 様々な組込みLinux、Android、RTOSフォーマットをサポート
- アクティブなデバイスのランタイムモニタリングと保護
このソリューションは開発者にどのようなメリットがあるのか?
開発者、DevOps組織(そして、もちろんセキュリティチーム)はJFrogとVdooのソリューションの価値をすぐに理解し、JFrog DevOps Platformの一部として、JFrogのセキュリティソリューションの適用範囲を拡大するでしょう:
- 統合された単一のセキュリティソリューションにより、異なる製品、データの組み合わせ、複雑な設定の維持、膨大な数の脆弱性リストをフィルタリングする必要がありません
- パイプラインを通して機能する包括的なセキュリティであり、DevSecOpsを単なる「スキャナー」としてだけでなく、統合されたリポジトリ、ディストリビューション、CI/CDフローの一部として機能します(例:JFrog ArtifactoryとDistributionのセキュリティ面、JFrog Pipelinesのサイン付きパイプラインなど)。これにより、統一された画面と過去の開発フェーズを可視化し、強固なセキュリティを維持しつつ、リリースサイクルを短縮してオンタイムデリバリーを可能にします
- 容易に理解でき、アクセス可能なセキュリティデータと修復方法の提供は開発者の時間、労力、混乱を軽減すると同時に、詳細な調査結果と専門的な緩和策のヒントを提供することで、DevOpsおよびDevSecOpsチームが自分たちで問題を解決することを可能にし、責任を持ってシフトレフトし、セキュリティを恐れるものではなく、エンジニアリングの価値として提供できます
- アプリケーションの完全なコンテキストを考慮した高度な優先順位付けとスキャンにより、関連性を特定するための膨大な数の脆弱性リストの中から選別する必要性を排除することで、誤検知を最小限に抑え、最も重要なことに集中することができます
- ゼロデイ脆弱性、マルウェア、エクスプロイト、バックドア、サプライチェーンリスク、その他の脅威を高度なスキャンとファジング手法を用いて自動検出します
- 安全なCI/CDパイプラインをデバイスソフトウェア作成まで拡張し、コンパイル済みC/C++バイナリの識別とセキュリティスキャンを行います
人々
JFrogの文化は何よりも重要な要素であり、企業の文化的適合性とその哲学は技術ポートフォリオと同じくらい重要視されます。Vdooにはバイナリを第一に考える同じ志を持った会社、エッジまでのセキュリティに対するパッション、開発チームやセキュリティチームのためにセキュリティの状況に革命を起こそうとする人々のマインドセットがありました。
Vdooの80人以上の従業員がJFrogに加わり、JFrogのセキュリティ・エンジニアリング・チームを直ちに強化し、高度なソリューションをより迅速に提供し、お客様により効果的にサービスを提供します。Vdooのチームには業界で最も実績のあるセキュリティ研究者やエンジニアが含まれています。このチームは新たなセキュリティリスクを発見し、軽減するための画期的な手法を発表し、その成果を積極的に提供しています。実際、彼らはこれまでに何百ものゼロデイ脅威を発見し、フォーチュン500社の企業と協力し、保護してきました。
タイムライン
2021年第3四半期には統合プロセスの第一段階として、JFrog Xray脆弱性スキャンをVdooの高度なデータを取入れて拡張し、お客様に直ちに強固な保護を提供します。第4四半期と2022年に向けて、適用性分析、組込みソフトウェアパッケージのサポート、完全に統合されたスキャン機能、ゼロデイ脆弱性のための開発者向け機能など、JFrog Platformとの更なる連携を提供する予定です。
Vdooチームへ:JFrogのセキュリティファミリーに加わることに感謝します。
Xrayチームによって築かれた素晴らしい基盤は大胆なソフトウェア・アップデートを可能にするという私たちのパッションにより、さらに大きくなります。私たちは世界中でソフトウェアが作成され、リリース方法を変えることを楽しみにしています。