JFrog XrayとDevSecOpsの新機能について

JFrog DevOps Platformの品質と機能を向上するため、特にDevSecOpsの世界では受賞歴のあるJFrog Xrayをさらに強化する強力な新機能を追加しています。

Xrayはオープンソースソフトウェアの脆弱性やライセンスのコンプライアンス違反を迅速かつ継続的に特定するために、世界中の開発者やDevSecOpsチームから信頼されているユニバーサルなソフトウェア構成分析（SCA）ソリューションとしての地位を確立しています。

ConanとC/C++サポート

Xrayは業界唯一のユニバーサル・リポジトリ・マネージャであり、コンテナ・レジストリであるJFrog ArtifactoryにデプロイされたConanパッケージ、C/C++ビルドをスキャンします。ConanはC/C++言語用の依存性およびパッケージマネージャでフリーかつオープンソースであり、すべてのOSプラットフォームで動作します。また、CMakeやVisual Studioなどのあらゆるビルドシステムや独自のビルドシステムとも統合します。Conanの強力な特徴は、あらゆるプラットフォームや構成に対応したコンパイル済みのバイナリを作成・管理できることです。

XrayはConanとC/C++の主にこれら4つのユースケースをサポートしています。

• ConanCenterからArtifactoryにダウンロードされたパッケージをスキャン
• ArtifactoryにアップロードされたConanで作成されたパッケージをスキャン
• Conanパッケージを構築し、XrayをCIプロセスに統合している場合、それらのConanビルドをスキャン
• Conanを未使用でもC++のビルドをスキャン

CVSS v3サポート

CVSS（Common Vulnerability Scoring System）はソフトウェアのセキュリティ脆弱性の深刻度を評価するためのオープンな業界標準です。このスコアリングアルゴリズムは悪用の容易さと影響を近似的に示すいくつかの指標を用い、セキュリティ脆弱性に深刻度のスコアを割り当てます。Xrayは以下の2つの異なるソースからスコアと深刻度を収集します。

• NVD: National Vulnerability Databaseには既知の脆弱性がそれぞれのCVSSスコアとともに登録されています
• OS Package Security Advisory: いくつかのオープンソース・オペレーティング・システムはオペレーティング・システム・パッケージ内の脆弱性をさらに分析した独自のセキュリティ・トラッカーを保持しています

スコアレンジと深刻度レベル

その目的は脅威のレベルに応じた対応やリソースの優先順位を決められるようにすることです。スコアは0から10まであり、10が最も高い深刻度となります。CVSS v3では次のような深刻度の説明もあります。

• Critical
• High
• Medium
• Low
• Unknown

Xrayで設定したセキュリティルールはXrayのポリシーとルールの作成で説明したように違反に対するCVSS v3スコアまたは深刻度レベルに対して測定されます。Xrayは引き続きCVSS v2スコアリングをサポートしますが、CVSS v3スコアが利用できない場合にのみ使用します。

Red Hat Security Scanner認定

JFrog XrayはRed Hat Partner Vulnerability Scanner認定プログラムに統合パートナーとしてRed Hatから認定されました。認定を受けたことで、JFrog Xrayによって特定されたセキュリティ脆弱性とライセンスコンプライアンスのデータが正確であり、Red Hatパッケージに対して期待される結果と一致していることが保証され、信頼できる認定ソースに基づいた正確なリスク評価が可能になります。これは、RPMパッケージを使用している企業が自信を持って、JFrog PlatformをDevSecOpsプラットフォームとして使用できることを意味します。

XrayのVulnerability Scanner認定に加えて、JFrog Platformは以下の認定も受けています。

• Red Hat Certified OpenShift Operator （JFrog ArtifactoryとJFrog Xray）により、インストールと自動化を促進
• Red Hat Certified UBI Container Image（JFrog Artifactory）Artifactoryが動作する基本的なオペレーティングシステムの信頼性、セキュリティ、パフォーマンスの向上を保証

これらの新機能は企業にとってDevOpsのセキュリティが重要になる中で、急速に機能を拡張しているXrayの最新の機能強化に過ぎません。XrayとJFrog PlatformのDevSecOps向け機能に関する重要な発表にご期待ください。