DevOpsにて利用される様々なツールに対応すること（ユニバーサル）がJFrog Artifactoryの特長の一つです。CI/CDパイプライン自動化のためにJenkins、CircleCI、Bitbucketを利用しているかどうかに関係なく、Artifactoryはそれらのツールはもちろん、他のツールとも連携して動作します。また、アーティファクトの保存先もオンプレミス、クラウドのいずれの場合でもArtifactoryの管理下に置くことができます。対応するクラウドの種類についても Artifactoryは主要なクラウドであるAWS, GCP, Azureに対応しています。

Artifactoryは、現在使用しているツールと共に動作しますし、ツールの変更があっても新しいツールとの併用可能です。

私たちはセキュリティスキャンツールであるJFrog XrayをDevSecOpsにおいてArtifactoryを補完する役割を担う製品としました。JFrog Xrayという選択肢が必要となる理由について記載します。

リポジトリマネージャーにとって重要な理由

Artifactoryの特長を受け継ぎ、Xrayもユニバーサルとなっており、多くのパッケージの種類をサポートします。
Maven、Gradle、npm、NuGet、RubyGems、Dockerなどいずれを使用していても、Xrayはリリースされたビルドからセキュリティリスクを排除するとともに、ライセンスポリシーへの準拠まで保証します。

セキュリティへの懸念はスタンドアローンで留まることはないため、Xrayもスタンドアローンには留まりません。DevSecOpsにおいて脆弱性の検知を行うためには、ビルド時のトレーサビリティを必須とします。セキュリティとライセンス準拠への対応は後からでは手遅れとなります。そのため、これらはアーティファクト管理システムにしっかりと組み込む必要があります。それにより、万が一、アプリケーションの脆弱性を見つけた時には、発生源や他のコンポーネントへの影響をチェックできるのです。

シフトレフト戦略をきちんと成功させるには、SDLC（システム開発ライフサイクル）全体でバイナリリポジトリマネージャーとセキュリティスキャンを連携させる必要があります。主なメリットは以下のとおりです。

1. Artifactoryとネイティブに統合

他のJFrog製品と同様に、Xrayは仮想マシンやKubernetesクラスタへ簡単にインストールできます。セットアップも簡単で、すぐに起動して実行できます。複雑な統合の設定等は必要ありません。XrayにArtifactoryのURLを指定し、ライセンスキーを入力するだけで開始できます。

Xrayをインストールして実行するとArtifactoryからすぐにアクセスできるようになり、セキュリティやライセンススキャンを行うリポジトリを有効にできます。新しい設定や学習しなければならないUIはありません。SDLCパイプラインのアーティファクトを監視するために今まで使用してきたものと同じです。Xrayを使用すれば、Artifactoryで各アーティファクトについて確認できます。

ArtifactoryやXrayのアップデートも心配ありません。それぞれが補完し合うツールとして常に適切に統合されているため、統合するためにシステムを停止したり長時間の検証テストを行う必要はありません。この2つの製品が統合されることで多くの機能がアップデートされてシームレスに連携します。

2. 過激なまでの透明性

Artifactoryを直接Xrayに接続すると、すべてのリポジトリがセキュリティスキャンされ、ソフトウェアコンポーネントアーキテクチャに対して過激なまでの透明性を提供します。

システム内の全コンポーネントに対してXrayの再帰スキャンを実行するようにArtifactoryのリポジトリを設定し、ソフトウェアに影響を与える最小単位のバイナリまで掘り下げて分析します。

さらにXrayはリポジトリ内にある既存のコンポーネントを継続的にスキャン・分析するので、実際の稼働環境に既に導入済みのものに対しても脆弱性を発見した際には通知します。

このようにXrayはArtifactoryとネイティブに統合されているので、アーティファクト単体だけでなく、アーティファクトの関係性まで継続的に分析できることが強みです。これにより、ビルドを構成するパッケージとバイナリに過激なまでの透明性が生まれます。

3. 脆弱性の影響についての分析

Xrayがリポジトリに脆弱性を持ったアーティファクトがあると発見した場合、そのコンポーネントが社内にあるすべてのコンポーネントにどんな影響があるのかを明らかにする情報を提供します。ではそのデータをどうやって理解すればいいのでしょうか？

Artifactoryはリポジトリマネージャです。Xrayと連携し、これらの結果を分析することでコンポーネントの脆弱性が他のコンポーネントに与える影響を把握できます。

Artifactoryは脆弱性のあるバイナリの影響の連鎖をグラフで表示して、Xrayからの情報を可視化します。これにより、脆弱性のあるコンポーネントを使用した場合の結果をわかりやすく包括的に把握できます。

4. エンドツーエンドのサポート

ソフトウェア開発パイプラインの中心的な存在として、Artifactoryは最初のビルドからステージング、そしてリリースまでアプリケーションのすべてのコンポーネントを把握しています。XrayがArtifactoryにネイティブに統合されているため、ソフトウェア開発ライフサイクル全体のセキュリティ監視がエンドツーエンドで行われます。

Xrayはリリースを迎えた後もユーザーを保護します。Artifactoryのリポジトリから本番環境に置かれたアプリケーションのスキャンを続け、新たに発見された脆弱性についても探し続けます。さらにKubeXrayを使うことにより、Kubernetesクラスタで現在実行されているコンテナのアプリに対してまでXrayのスキャン対象範囲を広げることができます。

ソフトウェアの変更が加速するにつれて、新しい脆弱性がますます早いペースで発見されています。それに対抗するにはDevOpsパイプライン全体をカバーするための継続的なセキュリティ対策が必要です。

リスクは決してなくなることはありませんが、ArtifactoryもXrayも休むことなく監視し続けます。
DevOpsのセキュリティのためにJFrog製品をぜひお試しください。