JFrog、JFrog XrayにDevSecOpsの高度なコンテキスト分析機能を搭載
PRESS RELEASE, 2022年 2月 21日
JFrog Xrayの新機能は、お客様が脆弱性の関連性、影響、必要な修正に対して
動的テストを実行し、修正までの時間を短縮することを支援
※本プレスリリースは、2022年2月16日(現地時間)に米国JFrogが発表したプレスリリースの翻訳版です。原文(英語)はこちらをご参照ください。
東京発(2022年2月21日) — JFrog Japan 株式会社(本社:東京都港区、ジャパン・ジェネラル・マネージャー:田中克典)の親会社である、JFrog Ltd.
(以下JFrog)(NASDAQ: FROG)は、DevSecOpsソリューションであるJFrog Xrayに、高度なコンテキスト分析によるセキュリティ機能を搭載しましたことを発表しました。Vdoo社買収後の統合プロセスが軌道に乗っていることの証明でもあるこの度のJFrog Xrayの新機能は、お客様が共通脆弱性識別子(CVE)の脅威レベルと関連性をより正確に判断することを可能にし、より迅速かつ正確に優先順位付けされた修正につながります。JFrog Artifactoryと共に、このXrayの新機能は、危険なCVEの検出、置換、回復、優先順位付けを行うための、総合的かつ自動化されたスケーラブルなソリューションを提供します。
JFrog Xrayのコンテクスト分析機能は、共通脆弱性スコアリングシステム(CVSS)に基づいて新しいCVEの調査や解決に時間とリソースを費やすのではなく、バイナリレベルでソフトウェアスキャンを行うことで、インテリジェントなアプローチをとり、各脆弱性の適用性と危険性の全体像をより的確に表現します。特定のCVEが自社の環境に関連しているかどうか、容易に悪用される可能性があるかどうかを知ることで、すでにパンク寸前であるだろうDevSecOpsチームが最も重要なセキュリティ・ギャップを迅速にピンポイントで特定し、対処することを可能にします。JFrog XrayはJFrog Platformの一部であるため、脆弱性が特定された時点で、必要なソフトウェア・アップデートをエンド・ツー・エンドで安全に構築、配布、接続できます。
JFrog SecurityのSVPであるNati Davidi(ナティ・ダヴィディ)は次のように述べています。「私たちは、それぞれのCVEの適用可能性とリスクを迅速に判断し、適切な修正策を導入するための統合プラットフォーム・アプローチをお客様に提供できることを嬉しく思います。昨今、非常に多くの脆弱性が発見され、お客様は本当に保護が必要なものに集中できるソリューションを必要としています。Xrayのコンテキスト分析は、各脆弱性をバイナリレベルで検出することにより、開発者やセキュリティチームが特定の脆弱性の影響について十分な情報を得た上で判断することを可能にし、オーバーヘッドを削減しながら自信を持って迅速に修正計画を実行することができます」
ソフトウェアの脆弱性やソフトウェアに対する攻撃が量的にも、その巧妙さでもかつてない勢いで増加しているなか、業界の調査 [1] によると、ビジネスや組織が脆弱性を修正するのに必要とする平均的な時間は、2021年上半期に197日から202日に増加しています。従来のソフトウェア構成分析(SCA)ツールでは、1回のスキャンで数百単位の脆弱性を見つけることが多く、開発チームはどの脆弱性が本当に重要なのかを判断するのに苦労していました。JFrog Xrayのコンテキスト分析は、コンテナイメージの高度なバイナリスキャンを使用して、どのような脆弱性が存在するのか、関連性があるのか、容易に悪用できるのかについてより正確に把握でき、開発者やDevSecOpsチームが迅速な修正のためのリソースに優先順位をつけられます。
脆弱なコードへの到達可能なパスの存在や、CVEの適用性に影響を与える設定変数など、関連する文脈上の要因を特定して評価するには、通常、セキュリティ専門家による広範な手作業での分析が必要です。この方法では、DevOpsのスピードとスケールでセキュリティを確保したいという今の業界ニーズを満たせません。 JFrogのセキュリティ・リサーチ・チームは、CNA(Certified Numbering Authority)として、既存および新規のCVEを継続的に監視、識別、分析し、実世界の攻撃者によって悪用される可能性があるかどうかを判断します。JFrog Xrayでは、このチームによる広範囲な調査により、脆弱性がどのように悪用されるかを明確にし、修正に関する明確なガイダンスを、自動化されたスケーラブルなプラットフォームを通じて提供することができます。
コンテキスト分析をはじめとするJFrog Xrayの新機能は、2月中旬よりJFrogのお客様に順次ご提供していきます。今回のアップデートは、JFrogの製品理念に基づき、JS、Java、Pythonなどの複数の言語やアーキテクチャに対応しています。最新バージョンにおけるコンテキスト分析やその他の新機能についての詳細は、こちらのブログ、または、JFrog Xray ソリューションのページをご覧ください。
[1] https://securityintelligence.com/news/news-vulnerabilities-25-days-remediate/
JFrog Japan株式会社について
JFrog Japan 株式会社は JFrog Ltd. (JFrog)の日本法人として 2018 年に設立。DevOps プラットフォームを開発した JFrog は、開発者のキーストロークから製品まで、ソフトウェアの流れをシームレスかつ安全に実現する「Liquid Software」というミッションを掲げています。エンドツーエンドでハイブリッドな JFrog Platform は、現代のソフトウェア開発組織が DevOps の力を完全に取り入れるために必要なツールと可視性を提供します。JFrog のユニバーサルなマルチクラウド DevOps プラットフォームは、AWS、Microsoft Azure、Google Cloud 上で、オープンソース、自己管理型、SaaS サービスとして利用できます。JFrogは何百万人ものユーザーと何千人もの顧客に信頼されています。その中には、ミッションクリティカルなソフトウェアデリバリーパイプラインを管理するために JFrog ソリューションをご活用いただいているフォーチュン100企業の大半が含まれています。詳細は jfrog.com/ja をご覧ください。
- JFrog の名称、ロゴマークおよびすべての JFrog 製品の名称は、JFrog Ltd. の登録商標または商標です。
- その他、このプレスリリースに記載されている会社名および製品・サービス名は、各社の登録商標または商標です。
<本件に関する報道関係者のお問い合わせ先>
バーソン・コーン&ウルフ 広報代理 担当 阿部/コビリ
TEL: 070-4504-0804 Email: yujiro.abe@bcw-global.com
Cautionary Note About Forward-Looking Statements (将来の見通しと注意事項 – 以下英文)
This press release contains “forward-looking” statements, as that term is defined under the U.S. federal securities laws, including but not limited to statements regarding expanded DevSecOps capabilities to quickly assess the relevance, impact and required remediation for security vulnerabilities, our ability to meet customer needs, and our ability to drive market standards. These forward-looking statements are based on our current assumptions, expectations and beliefs and are subject to substantial risks, uncertainties, assumptions and changes in circumstances that may cause JFrog’s actual results, performance or achievements to differ materially from those expressed or implied in any forward-looking statement.
There are a significant number of factors that could cause actual results, performance or achievements, to differ materially from statements made in this press release, including but not limited to risks detailed in our filings with the Securities and Exchange Commission, including in our annual report on Form 10-K for the year ended December 31, 2021, our quarterly reports on Form 10-Q, and other filings and reports that we may file from time to time with the Securities and Exchange Commission. Forward-looking statements represent our beliefs and assumptions only as of the date of this press release. We disclaim any obligation to update forward-looking statements.
Investor Contact:
JoAnn Horne
jhorne@marketstreetpartners.com