JFrogとVdoo: より良い関係
JFrog がソフトウェア脆弱性対策ソリューションを提供する Vdoo(ビドゥ) を買収した目的の1つは強靭なセキュリティを持つ Vdoo の技術をJFrog DevOps Platform に統合することです。 Vdoo のセキュリティ技術により、ソフトウェアおよびデバイスの脆弱性を検知し、さらにそれらの脆弱性の修正方法の提示、多数に及ぶ脆弱性の優先順位化、各種スタンダードとのセキュリティギャップを明確化できます。
これらのVdooの技術を JFrog DevOps Platform に統合することで、お客様のソフトウェア・ライフサイクル全体を踏まえた、「セキュアバイデザイン」「シフトレフト」といった効率的なセキュア開発プロセスが実現されます。
Vdoo のセキュリティ技術により、ソフトウェアおよびデバイスの脆弱性を検知し、さらにそれらの脆弱性の修正方法の提示、多数に及ぶ脆弱性の優先順位化、各種スタンダードとのセキュリティギャップを明確化できます。
どのような課題に対応するのでしょうか?
特に、組み込み製品や IoT 製品では、出荷後にソフトウェアをアップデートすることは容易ではありません。またいかなるソフトウェアでも開発最終段階でセキュリティ問題が発見されると、その修正には膨大なコストがかかります。この大きな課題への対策は、セキュリティを考慮した開発プロセスを構築することです。
どのような脅威に対応するのでしょうか?
まず、既知の脆弱性を含んだソフトウェアを使用しないことです。OSS を使用することが当たり前である現在の環境下では、他者の作成したソフトウェアの脆弱性を短時間で検知するには、自動化された脆弱性検知ツールが必要です。また、自社作成のソフトウェアに潜在的な脆弱性がないかをセキュリティの見地から検査することも必要です。さらには OSS にはライセンス違反の脅威も常につきまといます。
Vdoo ソリューションによって、このような脅威を短時間で検知することが可能です。製品をセキュアにすることでユーザを守ることは企業信頼を高めます。セキュアバイデザインによりタイムリーな製品リリースを実現することは、マーケットで優位に立つ重要要素です。この二つを同時に実現することで、ビジネスの成功の必要条件を満たすことにつながります。
JFrogとVdooのリーダーが初めて共同で行ったウェビナーで、JFrogがVdooを買収した理由、プラットフォームのセキュリティとコンプライアンス 機能がどのように拡張されるのか、そして統合のスケジュールについて説明しました。
「私たちは将来にとても期待しています。私たちは、この機能をできるだけ早くお客様にお届けするために懸命に取り組んでいます。」とJFrogのCTO兼共同設立者であるYoav Landmanはウェビナー Vdoo & JFrog: Enhanced Security from Code to the Edgeの中で言っています。
開発、セキュリティ、運用の一体化
特に大規模な組織では開発、セキュリティ、運用チーム間に断絶や不信感が生じることがよくありますが、彼らを結びつけるものはランタイムバイナリです。開発者はこれを作り、セキュリティ担当者はこれをスキャンし、運用担当者はこれをデプロイして監視するのです。
「それが共通点です」とLandmanは言っています。この点がJFrogはVdooと相性が良いと判断した主な理由です。どちらもバイナリにフォーカスしているからです。
VdooのCEO兼共同設立者であるNati Davidiは「バイナリが全てだ」と述べています。「バイナリを見ることは何が重要かを理解する唯一の方法です。」
バイナリに焦点を当てたVdooは真のコンテキスト分析を行い、誤検知率を劇的に減少させ、優先すべき最も重要な問題をピンポイントで特定し、セキュリティやコンプライアンスのギャップを生む可能性のある設定ミスなどの死角を削減します。
同様に重要なのはバイナリに注目することがアタッカーを真に理解する唯一の方法だということです。
JFrogとVdooはソフトウェア・セキュリティの重要な側面をすべてカバーすることで、開発、セキュリティ、運用の各チームに組織のソフトウェア・セキュリティとコンプライアンスのニーズ全体に対する包括的なテストと分析のための単一ソリューションを提供します。
これによって組織は強調して統一された DevSecOps 戦略とアプローチを持つことができ、すべてのチームが一体となって働き、同じ具体的な証拠と指針に基づいて意思決定を行えるようになります。
The JFrog DevOps Platform
まず、ユニバーサルでハイブリッドなJFrog DevOps Platformの範囲を理解することが重要です。JFrog DevOps Platformはバイナリのエンドツーエンドのソフトウェアリリース管理を提供します。JFrogがBinOpsのライフサイクルと呼ぶものです。
このプラットフォームはアーティファクトの保存、管理、セキュリティ、コンプライアンス違反の検知、CI/CD、ディストリビューションなどを含んでいます。
Xrayの詳細
Vdooの買収に最も関連するプラットフォームの一部はオープンソースソフトウェアの脆弱性 とライセンスコンプライアンス違反を検出するソフトウェア構成分析(SCA)ツールであるJFrog Xrayです。競合他社との違いを示す主な機能は以下の通りです。
- IDE 統合
Xrayはソフトウェアのリリースパイプラインやサプライチェーンを、バイナリができる前から保護できます。これは最初のコードを書いた瞬間やアプリケーションの依存関係が必要になったときから始まります。Xrayは最も人気のあるIDEと統合し、IDEのインターフェイス内でスキャンを実行できます。
- CI/CD 統合
ソフトウェアリリースをビルドしてパッケージ化すると、XrayはSCAを実行し、ビルドプロセスを独自に把握して依存関係とアーティファクトに関する情報を取得し、 SBOMを作成します。また、安全でない依存関係を持つビルドを自動的に失敗させるなど、実行可能なポリシーを設定することもできます。
- Distribution 統合
JFrog Distribution との統合により、Xrayはお客様のリリースSBOMをスキャンし、ソフトウェアの安全なプロモーションとプロダクションへの配布を保証します。
- プロダクション監視
ソフトウェアの運用開始後、Xrayによってソフトウェアを監視し、運用上の違反を検出することができます。また、新たに公開された脆弱性などの完全な影響分析マップを提供し、修復のためのアドバイスも提供します。
Xrayは独自の再帰的スキャンとインパクト分析により、既に導入されたソフトウェアを監視します。Xrayはどのようにこれを行うのでしょうか?
- コンポーネントを一度だけインデックス化し、スキャンしてデータベースに保持する
- すべてのバイナリレイヤーを再帰的にスキャンし、ソフトウェアリリースを分解して、最深のコンポーネントまでスキャンする
- コンポーネントグラフを作成し、新規および既知の脆弱性をグラフにマッチングする
- 影響分析マップを作成し、ソフトウェアリリースの脆弱性の原因となっている欠陥のあるアーティファクトを示し、それを既にデプロイして配布したものとリンクする
JFrogとVdooの相性が良い理由
JFrogはVdooが業界の中で際立っている5つの主要なバリュープロポジションを確認しました。
- 緩和策の加速
Vdooは独自技術とテクニックを用いてアーティファクトをスキャンし、脆弱性に関連するノイズを低減します。脆弱性を、バイナリやIT環境の特殊性を考慮した包括的で全体的なコンテキストを考慮して検査することにより、Vdooは発見と緩和策のアドバイスが正確で適切であることを保証します。
Vdooでは、このように脆弱性や設定ミスをコンテキストに合わせて個別に分析することを適用性スキャンと呼んでいます。基本的には、このアプローチにより、Vdooは特定の脆弱性や設定上の問題が実際にそのアーティファクトやバイナリに影響を与えるかどうかを判断し、その問題が組織にとってどれだけ緊急で重要かに基づいて、次のステップの優先順位を決めることができます。
Vdooは脅威の検出と分析を行うだけではありません。重要な脆弱性や設定ミスを軽減する方法を開発者向けに解説した詳細なナレッジベースを提供しています。Vdooは40以上のセキュリティ基準に基づいて検出結果をマッピングするので、ユーザは業界の義務や政府規制に準拠しているかどうかを迅速に確認することができます。
- 完全に自動化されたゼロデイ検知
Vdooは専門のセキュリティ研究者を擁し、まだ公表されていない脆弱性を発見することで企業がアタッカーの一歩先を行くことをサポートします。実際、VdooはCVE Numbering Authority (CNA)の認定を受けており、 Common Vulnerabilities and Exposures リストに新しい脆弱性を登録できます。
Vdooの脅威インテリジェンスチームはゼロデイ脆弱性の発見と開示に加えて、開示された既知の脆弱性に関するコンテキストとインサイトを提供していますので、お客様の環境の特性に合わせて、ソフトウェアに対する脅威の度合いを把握することができます。
Vdooはコンパイル済みのバイナリから、次世代の静的解析、ファジング、シンボリック実行などの様々な技術を用いて、アーティファクトのあらゆる要素の脆弱性や悪意のあるコードをスキャンします。また、悪意のあるOSSパッケージ、バックドア等を検出します。
- ユニバーサルデバイス保護
VdooはIoTセキュリティにおける強固な基盤と様々なデバイスでの豊富な経験により、JFrogを様々なオペレーティングシステム、アーキテクチャ、モバイル制御アプリを持つ、組み込みシステム、スマートフォン、サーバなどのエンドポイントの新しい世界へと導きます。
- C/C++アプリケーションスキャン
高度なSCAにより、Vdooはマシンラーニングに基づくバイナリの類似性アルゴリズムを用いてC/C++のコンポーネントを識別し、JFrogのC/C++用パッケージマネージャConanを補完します。さらに、Vdooは設定上の問題やゼロデイ脅威も検出します。
- ランタイム保護
Vdooランタイムエージェントは、ターゲットシステムごとに自動的にコンパイルされるため、カスタマイズされた方法でランタイム環境を保護することができます。主な機能の一つとして、スマートホワイトリストで既知の承認されたコードのみがロードされて実行が許可されます。
次は?
Xrayは今年の第3四半期に修復アドバイスを含むVdooの脆弱性データを強化し、2022年にはJFrog DevOps Platformとのより密接な統合を行う予定です。
VdooのCTO兼共同設立者であるAsaf Karasは「Vdooはセキュリティに関して開発者の生活を楽にすることを目的としているため、この技術をすぐにJFrogのすべてのお客様にお届けできることを楽しみにしています」と述べています。「それが我々のビジョンです」
Vdooの技術とJFrog DevOps Platformの統合についての詳細はオンデマンドで「“Vdoo & JFrog: Enhanced Security from Code to the Edge”」のウェビナーをご覧ください。