Xray: 新年に新しいセキュリティ機能を発表
最も包括的で高度なSDLC保護機能を提供するための継続的な取り組みの一環として、JFrogはセキュリティおよびコンプライアンス製品であるXrayの機能を強化し続けています。
このブログでは、ソフトウェアの強化、リスクの低減、セキュリティの拡張、コンプライアンスの強化、自信を持ってリリースを加速させることを目的とした、Xrayの最新の改良点の概要をご紹介します。
SBOM(ソフトウェア部品表)、Gitリポジトリのスキャン、脆弱性データ、Jiraインテグレーション、脅威のコンテキスト分析などの分野におけるXrayの最新情報についてご紹介します。
脅威のコンテキスト分析
セキュリティ上の脅威はすべてが同じというわけではありません。重要なものもあれば、リスクの少ないものもあります。理想的な世界では、ソフトウェア開発ライフサイクル(SDLC – Sofware Developement Life Cycle)の中で、すべての脆弱性、設定ミス、コンプライアンス違反を修正できます。しかしながら、時間とリソースの制約を考えると、それは現実的ではありません。したがって、どの脅威を最初に修正するか、優先順位をつけなければなりません。そのためには、コンテキスト分析が鍵となります。
Xrayは、文脈を考慮してインテリジェントにバイナリをスキャンします。バイナリやイメージだけではなく、コンフィグレーションの妥当性、パッチの有無、CVEが適用されるかどうかのコンパイルフラグなどの基準を含めて、その環境を調査する全体的なアプローチを採用しています。Xrayでは、このようなコンテキストに基づいた脅威分析を行うことで、最も重要なセキュリティギャップをピンポイントで特定し、それに応じて優先順位をつけてすぐに対処できるようにします。
最も重要なセキュリティおよびコンプライアンス上の欠陥を、迅速かつ継続的に検出して修正することで、ソフトウェアをより早く、自信を持ってリリースすることができ、問題が予期せず発生してパイプラインが遅れることを防ぐことができます。
強化された脆弱性データ
DevOpsチームによるリスクの評価と優先順位付けを支援するもう一つのXrayの新機能は、CVE Research and Enrichmentと呼ばれています。これは、脆弱性の一般公開データを、JFrog セキュリティ・リサーチ・チームによる独自の情報で補強するものです。
公開されたすべての脆弱性には、深刻度の評価とともにCVE(Common Vulnerabilities and Exposures)番号が割り当てられ、NVD(National Vulnerability Database)にリストアップされます。
しかし、JFrogのお客様は、より詳細な技術的概要とJFrog独自の深刻度スコアにアクセスすることができ、CVEのリスクをよりよく理解し、修正の優先順位をつけることができます。このJFrogの情報には、悪用されるための前提条件や詳細な技術的軽減策が含まれています。
この機能についての詳細情報です。
Gitリポジトリのスキャン
Xrayは、GitHub、Bitbucket、GitLabなどのバージョン管理システム(VCS)プロバイダーとの統合により、Gitリポジトリをスキャンし、その中にあるOSSの依存関係を特定し、脆弱性やライセンスに対するコンプライアンス違反の検出をできるようになりました。お客様は違反の警告、プルリクエストの失敗、依存性アップグレードのための修正プルリクエストの作成など、特定のアクションを引き起こすためのポリシーを定義することができます。
JFrogは、開発者が好みのツールのUI内でセキュリティやコンプライアンスの問題を検出できるようにすることで、シフトレフトを可能にして、チームの能力が向上し、DevOpsサイクルの中で早期かつ頻繁に問題を修正できるようになります。
SBOMの改善
SBOM(ソフトウェア部品表)がDevSecOpsの重要な構成要素となっていることは間違いありません。なぜなら、ソフトウェアを構成するコンポーネントを詳細かつ包括的に可視化することができるからです。
昨年のホワイトハウスによる「国家のサイバーセキュリティ向上に関する大統領令」では、「ソフトウェアの構築に使用される様々なコンポーネントの詳細とサプライチェーンの関係を含む正式な記録」としてのSBOMの重要性が強調され、「SBOMを取得し、それを用いて既知の脆弱性を分析することはリスク管理において極めて重要である」と記述されています。
そのため、XrayのSBOM機能を強化し続けており、最近ではSPDXとCycloneDXの標準にも対応しています。Xrayは、ソフトウェア・コンポーネントと依存関係をマシンで読み取り可能なインベントリーとしてSBOMを作成しますが、今回、これらの標準形式の両方でSBOMをエクスポートできます。
ISO/IEC承認の標準規格であるSPDXは、オープンソース・プロジェクトで人気があり、一方、CycloneDXは、アプリケーション・セキュリティのユースケースやサプライチェーン・コンポーネント分析のために設計された軽量規格です。
これらの新機能により、DevOpsチームがソフトウェアコンポーネント、その依存関係、関連するリスクをコントロールし、可視化にも役立ちます。
Jiraとのインテグレーション
AtlassianのJiraとのインテグレーションにより、簡単な設定で、Xrayが検出したセキュリティ違反に基づいてJiraチケットを自動的に作成できます。これらの通知がJiraのUIに表示されることで、すでにJiraを使ってコード上の他の種類のバグのチケットを追跡・管理している開発者にとっては、より簡単で便利なものになります。
Xrayに切り替える必要がないため、検出されたセキュリティやコンプライアンス上の問題を迅速に評価し、優先順位をつけて対処でき、潜在的な影響を最小限に抑えられるため、安全でコンプライアンスに準拠したソフトウェアを確実にリリースできます。
JFrog セキュリティ・リサーチ・チームに特定されたCVE
- CVE-2022-30522 ー Apache httpd「mod_sed」フィルターに関するサービス拒否 (DoS)の脆弱性
- DirtyPipe (CVE-2022-0847) は新たなDirtyCoW?
今後の予定
私たちは、開発者、DevOps、セキュリティチームとその特定のニーズのために特別に設計された、最も堅牢なセキュリティとコンプライアンスの機能を提供するために努力しています。私たちの使命は、お客様がコード作成から配布までのSDLC全体を継続的かつシームレスに保護し、ソフトウェアを安全かつ迅速にリリースできるようにすることです。
さらなる、Xrayの重要な機能強化にご期待ください。