XrayとVulnDBの統合:DevOpsに業界最高レベルのセキュリティを
JFrog Xray:強力なDevSecOpsソリューション
JFrog Xrayは2017年に開催された毎年恒例のJFrogユーザーイベントであるswampUPで発表されました。Xrayを使用すると、DevOpsチームは開発の早い段階でオープンソースの脆弱性とソフトウェアライセンスのコンプライアンス違反の発見、通知、修正を行うことができます。開発時に脆弱性が発見されるのは早ければ早いほど良いとされています。開発ライフサイクルでは左から右に開発フェーズが進んでいくため、このように対策を早めることを「シフトレフト」と呼びます。
RBSとの提携
JFrogは会社の方向性として、DevOps方式をうまく実装するためにはユニバーサルなアプローチが有効だと考えています。つまりDevOpsチームはソフトウェアの開発やリリースのプロセスで「BYOT(Bringing Their Own Tools:自分たちのツールを使う)」方式を採用するのが効果的であると考えています。JFrog ArtifactoryとXrayはさまざまなDevOpsツールとの統合を実現しています。さらに、より優れた使い勝手を提供できるほど密結合が可能なツールも中にはあります。先日、Risk Based Security(RBS)との提携を発表しましたが、これは今回の実現されたJFrog XrayとRBSのインテリジェンスなVulnDB脆弱性ソリューションの統合の一例です。
VulnDBを搭載したXrayはデータセキュリティを次のレベルへ
XrayとVulnDBのデータを組み合わせることで、市場で最高のセキュリティソリューションを手に入れることができます。結局のところ、セキュリティスキャンソリューションは採用している脆弱性データベースの能力に左右されます。JFrogが持っている圧倒的なメタデータの知見とパッケージのデータベースとタイムリーで幅広い情報量のVulnDBの脆弱性データベースによって、DevOpsパイプライン全体の脆弱性をタイムリーに特定し修正するための非常に強力なソリューションを提供できるようになりました。JFrogのユーザにとってもっとも嬉しいポイントは、開発パイプラインでXrayを使用する以外に何も特別なことをする必要がないことです。XrayへのVulnDBの組み込みは、瞬時に(しかも追加料金なしで)行われます。
業界最高レベルのセキュリティを手に
この統合では単にプラグインやAPIコールを使うレベルではなく、VulnDBデータベースをXrayデータベースに直接組み込む方法を採用しました。この意義は非常に重要です。VulnDBは市場をリードするセキュリティ脆弱性インテリジェンスデータベースです。XrayとVulnDBの組み合わせにより、他の脆弱性プロバイダと接続する必要がほとんどなくなるほど優れたセキュリティ機能が提供されるとお考えください。
脆弱性について知っておくべきこと
現在、VulnDBには約200,000の脆弱性が含まれており、毎日新しい脆弱性が追加されています(2019年の初めから約3,000の新しい脆弱性が追加されています)。VulnDBのWebサイトで最新の状況を確認できます。
そしてVulnDBはJFrog Xrayのユーザには追加料金なしで使用できることを知っておくことも重要です!
さらに、VulnDBデータはXray脆弱性データベースで既に利用しているものに追加されます。
VulnDBを含めたXrayのアップデート
最新データを取得するにはXray脆弱性データベースを頻繁に更新するだけです(もしオフラインモードで作業している場合は最新のデータベースをダウンロードする必要があります)。VulnDBのXrayへの完全な統合は徐々に行われ、データベースの更新ごとに新しい脆弱性データが利用可能になります。ほとんどの作業は2019年半ばまでに完了する予定です。新しい脆弱性は毎日発見されているため、定期的に更新する必要があります。
詳細について
JFrog XrayとVulnDBの統合はJFrogのユーザに本物のDevSecOpsソリューションを提供し、開発から本番、リリースまでさまざまな脆弱性を検知します。
VulnDBとXrayの統合について詳しく知りたい場合は、こちらをご覧いただくか無料体験版のご利用をおすすめいたします。