検出、優先順位付け、
修復をSDLC全体のオープンソース
リスクに対して実行

開発者が最初からセキュリティとコンプライアンスの問題を発見して修正できるようにする
製品ツアーを開始

JFrog Xrayについて

JFrog Xrayは、簡単な方法で、オープンソースソフトウェア (OSS) およびサードパーティコンポーネントのセキュリティ脆弱性とライセンスコンプライアンスの問題を特定、優先順位付け、修復できるエンタープライズグレードのソフトウェア構成分析 (SCA) ツールです。

デモを見る

早期検出と
迅速な修復

開発サイクル全体でリポジトリ、ビルドパッケージ、およびコンテナイメージの継続的スキャンを実行することで、オープンソースパッケージとバイナリの脆弱性を簡単に特定、優先順位付け、修復できます。 セキュリティの脅威を早期に検出して、リスクを軽減し、修正を迅速化し、コストを削減

開発者の生産性とエクスペリエンス

開発者ツールとシームレスに統合することで、ビルド時間への影響を最小限に抑えながら、効率的で自動化されたコードの保護を実現します。 IDE/CLIで直接、脆弱性のある依存関係と修復オプションやコンテキストを表示できます。 JFrogのCLIツールを使用してパイプラインを自動化し、依存関係とコンテナのスキャンとオンデマンドのスキャンを行います。

ライセンスコンプライアンスを
大規模に実現

自動的に生成されるソフトウェア部品表 (SBOM) により、直接的および間接的な依存関係を完全に可視化できます。 オープンソースライセンスの問題が本番環境で顕在化する前に検出して解決し、規制を適用するポリシーを簡単に作成して、すべてのOSSライセンスのコンプライアンスレポートを生成できます。

運用リスク
管理

OSSコンポーネントに関する追加データにアクセスして、運用リスクを評価できます。 バージョンの経過期間、関係者の数、メンテナンスの頻度、コミットの数、サポート終了などのリスク要因に基づいてパッケージをブロックするカスタムポリシーを作成します。

CVEの研究と強化を
JFrogセキュリティリサーチチームが提供

JFrogの専任のセキュリティリサーチチームによる詳細なCVE調査結果と脆弱性データを活用して、セキュリティ体制を積極的に推進します。 実際のリスクをより深く理解し、注目度の高いCVEに優先順位を付け、効果的なリソース割り当てにより修復を加速します。

悪意のあるパッケージ
検出

公開アドバイザリおよびJFrogのセキュリティリサーチチームからの情報を基に構築された、400万以上のOSSパッケージを収録したJFrogの拡張データベースを使用して、悪意のあるパッケージとコンポーネントを自動的に検出して排除します。 すぐに使える実用的な軽減策と修復の手順を入手して、リスクを最小限に抑えます。

お客様がJFrog Xrayを信頼する理由

「多くの大企業では複数の拠点を運用しており、それらの拠点間で認証や権限を効率的に管理することが極めて重要です。JFrog Enterprise+ は、導入当初から当社の厳しい要件を満たせる理想的な構成を提供してくれます。Access Federationのような高度な機能により、ユーザー、権限、グループを拠点間で常に同期できるため、運用負荷を大幅に削減できます。」
シヴァ・マンダディ氏
メルセデス・ベンツ 自動運転領域 DevOps
「JFrog Enterprise+ は、開発者の生産性を向上させ、フラストレーションを解消します。 JFrog Distribution は、オンプレミスで利用できるCDNのような仕組みで、遠隔拠点へソフトウェアを確実に配信できます。一方、JFrog Access Federation を利用することで、拠点をまたいで認証情報、アクセス権、グループメンバーを容易に共有できます。
Artem Semenov
DevOpsおよびツール担当シニアマネージャー、
Align Technology
「従来の15か月サイクルではなく、現在はほぼオンデマンドでリリースできるようになりました。」
マルティン・エッゲンベルガー氏
チーフアーキテクト、
Monster
「長年DevOpsエンジニアとして働いてきた経験から、企業が保有する旧来のものから最新のものまで多種多様なパッケージを管理し続けることがいかに難しいかを理解しています。JFrogはこれまで常に、チームが効率的かつ安定して業務を続けられるよう強力に支えてくれました。JFrogが停止すれば、私たちの業務も止まってしまうと言っても過言ではありません。さらにAWSのインフラにも支えられていることで、現在だけでなく将来にわたっても、ビジネスの要求に応じて安心して開発と提供を行えると確信しています。」
ジョエル・バサロ氏
Cloud DevOps部門責任者、
Redbox
「log4jの問題が金曜日の午後に公表された際、JFrogを活用することで、月曜日の正午までにすべての拠点へパッチを展開することができました。」
ハンノ・ヴァリシェフスキ氏
チーフシステムアーキテクト、
Yunex Traffic
「このインシデントから得た教訓の一つは、一般論として、ビルドに取り込む依存関係を検証するスキャンツールを介さずに、インターネットから直接ビルドを行うべきではないということです。そのため、私たちはクラウドサービスではなく JFrog® Artifactory® のインスタンスを使用して依存関係をホストしています。これを、ステージング、プロダクション、オンプレミス向けにリリースされるすべてのソフトウェア成果物における唯一の正当な配布元としています。
安全なソフトウェア開発の新基準の確立:
SolarWinds次世代ビルドシステム
SolarWinds
「Artifactory に移行して以降、私たちのチームは保守の負担を大幅に削減できました。その結果、次の取り組みに進み、より成熟したDevOps組織として活動できるようになっています。」
シュテファン・クラウゼ
ソフトウェアエンジニア、
Workiva
「世界中で30万人以上のユーザーが、規模の異なるネットワークの重要な要素を監視するためにPRTGを利用しています。そのため、私たちはソフトウェアそのものだけでなく、それを取り巻くセキュリティやリリースプロセスについても、継続的に改善・強化していく責任があると考えています。JFrog は、これを最も効率的な形で実現するための支援をしてくれています。
コンスタンティン・ヴォルフ
インフラストラクチャエンジニア、
Paessler AG
「私にとって JFrog Connect は、エッジIoTの連携をより迅速に展開し、より大規模に管理するためのスケーリングツールです。VPN やファイアウォールの要件が異なる複数の顧客拠点に接続する際も、手作業による一時的な対応が大幅に減りました。」
ベン・ファッセル
システムインテグレーションエンジニア、
Ndustrial
「5つも6つも異なるアプリケーションを使うのではなく、本当に使える単一のものは何かを見極めたいと考えていました。それらを保守する必要もありました。 「単一のソリューションとして使えるものはないのだろうか、と考えました。 そこで Artifactory がその課題を解決してくれました。 結果として、私たちにとってはまさにワンストップのソリューションでした。本当に、私たちに必要なものはすべて揃っていました。」
キース・クライスル氏
主席開発者、
Cars.com
「多くの大企業では複数の拠点を運用しており、それらの拠点間で認証や権限を効率的に管理することが極めて重要です。JFrog Enterprise+ は、導入当初から当社の厳しい要件を満たせる理想的な構成を提供してくれます。Access Federationのような高度な機能により、ユーザー、権限、グループを拠点間で常に同期できるため、運用負荷を大幅に削減できます。」
シヴァ・マンダディ氏
メルセデス・ベンツ 自動運転領域 DevOps
「JFrog Enterprise+ は、開発者の生産性を向上させ、フラストレーションを解消します。 JFrog Distribution は、オンプレミスで利用できるCDNのような仕組みで、遠隔拠点へソフトウェアを確実に配信できます。一方、JFrog Access Federation を利用することで、拠点をまたいで認証情報、アクセス権、グループメンバーを容易に共有できます。
Artem Semenov
DevOpsおよびツール担当シニアマネージャー、
Align Technology
「従来の15か月サイクルではなく、現在はほぼオンデマンドでリリースできるようになりました。」
マルティン・エッゲンベルガー氏
チーフアーキテクト、
Monster
「長年DevOpsエンジニアとして働いてきた経験から、企業が保有する旧来のものから最新のものまで多種多様なパッケージを管理し続けることがいかに難しいかを理解しています。JFrogはこれまで常に、チームが効率的かつ安定して業務を続けられるよう強力に支えてくれました。JFrogが停止すれば、私たちの業務も止まってしまうと言っても過言ではありません。さらにAWSのインフラにも支えられていることで、現在だけでなく将来にわたっても、ビジネスの要求に応じて安心して開発と提供を行えると確信しています。」
ジョエル・バサロ氏
Cloud DevOps部門責任者、
Redbox
「log4jの問題が金曜日の午後に公表された際、JFrogを活用することで、月曜日の正午までにすべての拠点へパッチを展開することができました。」
ハンノ・ヴァリシェフスキ氏
チーフシステムアーキテクト、
Yunex Traffic
「このインシデントから得た教訓の一つは、一般論として、ビルドに取り込む依存関係を検証するスキャンツールを介さずに、インターネットから直接ビルドを行うべきではないということです。そのため、私たちはクラウドサービスではなく JFrog® Artifactory® のインスタンスを使用して依存関係をホストしています。これを、ステージング、プロダクション、オンプレミス向けにリリースされるすべてのソフトウェア成果物における唯一の正当な配布元としています。
安全なソフトウェア開発の新基準の確立:
SolarWinds次世代ビルドシステム
SolarWinds
「Artifactory に移行して以降、私たちのチームは保守の負担を大幅に削減できました。その結果、次の取り組みに進み、より成熟したDevOps組織として活動できるようになっています。」
シュテファン・クラウゼ
ソフトウェアエンジニア、
Workiva
「世界中で30万人以上のユーザーが、規模の異なるネットワークの重要な要素を監視するためにPRTGを利用しています。そのため、私たちはソフトウェアそのものだけでなく、それを取り巻くセキュリティやリリースプロセスについても、継続的に改善・強化していく責任があると考えています。JFrog は、これを最も効率的な形で実現するための支援をしてくれています。
コンスタンティン・ヴォルフ
インフラストラクチャエンジニア、
Paessler AG
「私にとって JFrog Connect は、エッジIoTの連携をより迅速に展開し、より大規模に管理するためのスケーリングツールです。VPN やファイアウォールの要件が異なる複数の顧客拠点に接続する際も、手作業による一時的な対応が大幅に減りました。」
ベン・ファッセル
システムインテグレーションエンジニア、
Ndustrial
「5つも6つも異なるアプリケーションを使うのではなく、本当に使える単一のものは何かを見極めたいと考えていました。それらを保守する必要もありました。 「単一のソリューションとして使えるものはないのだろうか、と考えました。 そこで Artifactory がその課題を解決してくれました。 結果として、私たちにとってはまさにワンストップのソリューションでした。本当に、私たちに必要なものはすべて揃っていました。」
キース・クライスル氏
主席開発者、
Cars.com

ソフトウェアサプライチェーン全体を
JFrog Platformを使用してを保護

ソフトウェアパッケージとMLモデルのシームレスなキュレーション

詳細へ

サプライチェーンのエクスポージャースキャンと影響分析

詳細へ

ランタイムの脆弱性をリアルタイムで把握

詳細へ

強化されたセキュリティ
ソースコードとバイナリスキャン

JFrog Advanced Securityを使用すると、開発チームはコーディングしながらスキャンすることができ、DevOpsチームとセキュリティチームはバイナリのセキュリティゲートキーパーを管理して設定することができます。すべてのチームはJFrogの高度なスキャナー機能を使用して、効率的に優先順位を付け、セキュリティノイズを減らすことができます。

Advanced Securityの詳細はこちら

Driven By Dedicated Research

この研究の成果をご覧になりたいですか? JFrog Xrayが手動による修復を減らし、安全なリリースを加速することで、チームの時間を節約する方法をご覧ください。
セキュリティの節約時間を計算する

2,000+

悪意のあるパッケージを
公開

1700+

適用性スキャナー

20+

OSSツール
リリース済み

140+

脆弱性
発見

節約額を計算

セキュリティに関するその他のリソース

ソリューション シート
JFrogセキュリティの究極ガイド
さらに詳しく
セキュリティ調査レポート
オープンソースセキュリティの上位脆弱性の詳細分析
レポートを読む
Webinar
Xray Essentials & Advanced Securityによるソフトウェアサプライチェーンのセキュリティ
動画を視聴する
ブログ
IDEに適用可能な脆弱な依存関係のみを修正して時間を節約
さらに詳しく
Git OSSスキャンツール
Frogbot - JFrog Security Git Bot
詳細へ
セキュリティ研究ブログ
シフトレフトしながらセキュリティの体制を拡張して改善します。
さらに詳しく

よくあるご質問

はい、XrayはArtifactoryと同様に、JFrog Platformの中核コンポーネントです。 このシームレスな統合により、XrayはArtifactoryと緊密に連携し、両製品間で広範なメタデータを共有できます。 その結果、セキュリティの問題に関する深いインサイトを得られるだけでなく、その全体像も理解できるため、より効果的なリスク評価と修復が可能になります。

SaaS(クラウド)をご利用の場合、またはセルフホスト型サブスクリプションがPro X、Enterprise X、またはEnterprise+の場合、Xrayをご利用いただけます。

Xrayは、Docker、Maven、PyPI、npm、NuGetなどの一般的なものを含む、25種類を超えるパッケージタイプとテクノロジーに対応しています。 Artifactoryと同様に、Xrayもユニバーサルで非常に汎用性が高く、これらの異なるパッケージタイプをすべて一つの場所に保存できます。 さらに重要なのは、ビルド、コンテナ、保存されたアーティファクトをスキャンして、オープンソースの依存関係に起因する潜在的なセキュリティリスクと脆弱性を特定できることです。

はい。Xrayは、イメージのすべてのレイヤーを分析するために詳細な再帰的スキャンを実行し、各レイヤー内のすべてのコンポーネントを特定します。 これは、使用中のすべての依存関係の包括的な一覧を提供します。 さらに、既存のポリシー条件に違反する可能性があるコンポーネントを検出できるため、コンプライアンスとセキュリティを確保できます。

はい、Xrayは、イメージとビルド済みアーティファクトの両方がArtifactoryにアップロードされる際にスキャンすることができます。 さらに、ビルドプロセスからメタデータ(ビルド情報)をキャプチャし、詳細な分析のためにJFrog Platformに公開することができます。 ビルド情報から直接スキャンすることで、特定のビルドに含まれるすべての依存関係を完全に可視化できるため、潜在的なセキュリティリスクの評価とコンプライアンスの確保に役立ちます。

Xrayのシフトレフトアプローチは、現在開発者に広く使用されている主要なすべてのIDEとシームレスに統合します。 VS Code、IntelliJ、Visual Studio、PyCharmなどのプラグインを提供し、開発環境内で直接、セキュリティの脆弱性やコンプライアンスの問題を早期に発見できます。

はい、Xrayは複数のポリシーを完全にサポートしており、多くのお客様がこの機能を活用して、リポジトリ全体でセキュリティとコンプライアンスを適用しています。 ポリシーは複数のリポジトリに適用でき、重要なアセットを包括的にカバーできます。 事前にポリシーを設定しておくことで、Xrayは問題の発生時にプロアクティブに特定して強調表示し、セキュリティとコンプライアンスを無理なく維持できるよう支援します。

はい、ArtifactoryがGitHub、Jenkins、AzureなどのCIサーバーとシームレスに統合できるのと同様に、XrayもCI/CDパイプラインに組み込むことができます。 パイプラインスクリプトにXrayスキャンをステップとして追加することで、開発サイクルの早い段階でセキュリティの脆弱性とコンプライアンスの問題を自動的に検出し、より安全で信頼性の高いソフトウェアデリバリープロセスを確保できます。

はい、更新は自動的に行われ、通常、1日に1回です。 ただし、セキュリティインシデントが発生した場合は、更新を加速し、必要に応じて随時更新を展開します。 インシデントに関する洞察をさらに収集しながら、ユーザーが最新の脅威インテリジェンスをリアルタイムで受け取れるよう確保し、新たなセキュリティリスクに効果的に対応できる体制を維持します。

はい。JFrog Xray は高可用性を備えており、SCAスキャンが常に実行されることを保証します。 これは、パイプラインの流れを維持し、ソフトウェアを保護するために不可欠です。 JFrogのSaaS製品の一部として活用する場合、Xrayを業界最高水準の99.99%の稼働時間SLAでご利用いただけます。 JFrog Platformを自己管理する場合、Xrayは高可用性クラスタにデプロイできます。

信頼性の高いソフトウェアのリリースを
迅速かつ大規模に提供

製品ツアーを開始 デモを予約