クラウドを活用したJFrogのDevSecOps戦略
最近、新しいバージョンのJFrog XrayをMission ControlとArtifactoryと一緒にリリースいたしました。今回のバージョンで最も重要な新機能は、ついにクラウドだけで完結するSaaSモデルでXrayが利用できるようになったことです。これからは自分たちでインフラを準備しなくても、Xrayのすべての機能が利用できるようになります。つまり、クラウド上で完結するセキュリティスキャンツールがユニバーサルバイナリリポジトリのArtifactoryと統合されたことにより、包括的なエンドツーエンドのクラウド版DevSecOpsソリューションが史上初めて誕生したことになります。
「シフトレフト」していくには
現在、DevSecOpsに対するニーズの高まりから、プロセスの初期段階からセキュリティ対策を行うシフトレフトという動きが拡大しています。DevとOpsだけでなく、セキュリティ対策も早急にプロセスに統合する必要があります。コンテナの普及にともない脆弱性とセキュリティ上の脅威が増加しているため(Dockerレジストリも含めて対応が必要です)、パイプライン全体を通して事前にソフトウェアの整合性を確立することがますます重要になります。
XrayはDevSecOpsになくてはならないものです
XrayがDevSecOpsに役立つということは、今までの実績が証明しています。2016年以来、JFrogのユーザはXrayスキャンのおかげで、PIP、Maven、Nuget、RubyGems、Debianなどのソフトウェアパッケージに存在する何千ものユニークで未発見だった脆弱性を回避してきました。Xrayは業界トップクラスの精度でバックアップし、厄介な誤検知を手動でトラッキングして無駄にしてきた膨大な時間を節約することができます。その時間を節約できるだけで非常に大きな価値がありますが、さらにXrayはコンプライアンス担当チームと法務チームをDevSecOpsプロセスに参加させ、特にOSSのライセンスと要件に関する予測不能な問題点を回避できます。
クラウドだけで完結する必要はありません
多くの人はクラウドで完結できるかどうかをあまり気にしません。一部の企業や企業内のごくわずかな担当者だけが、クラウドを最優先してクラウドだけで完結できるモデルに移行しようとしています。それ以外のほとんどの企業は、ハイブリッドやマルチクラウド戦略を採用しています。所属するグループが100%クラウドであろうとなかろうと、あるいは特定のプロジェクトのためだけであろうと、パイプラインにDevSecOpsツールが必要になることは変わりません。もちろんそれには、ツールがクラウドかオンプレミスで交換可能な状態である必要があります。
Xrayはさまざまなクラウド戦略に柔軟に対応します
上記の通りクラウドで完結できる環境はわずかであり、一般的にはハイブリッドなモデルが必要になります。Xrayはオンプレミスとクラウドの両方で利用可能で、Artifactoryと完全に統合されています。2つのモデルの間には機能的な違いはありません。そのため、どこで使用してもすべての機能が利用できます。
すでにJFrog Cloudの顧客である場合にすべきこと
あとはご利用されているArtifactory CloudインスタンスでXrayをアップグレードするだけです。すでにオンプレミスを使用しているが、クラウドに移行したい(または少なくとも自分でチェックアウトしたい)のであれば、気軽に試用できます。
Artifactoryにバンドルされているクラウド版Xrayをぜひお試しください。リスクをとらずに何が問題なのかを簡単に確認することができます。