|
|
お客様各位
いつもお世話になっております、マイクロフォーカスエンタープライズです。
今回は、ソフトウェアサプライチェーン攻撃対策で重要視されているソフトウェアコンポジション解析ツールを拡張する「自動導入ポリシーシステム」をご紹介します。
ソフトウェアコンポジション解析の必要性とOSS評価における課題
コスト効果、柔軟性、即時性など多くの利点により、現在ではソフトウェアやアプリケーションの開発にはオープンソースコンポーネントやサードパーティライブラリが多く利用されています。しかしながら、これらコンポーネントには、既知の脆弱性が含まれていることがあり、攻撃者に悪用されるリスクがあります。
また、OSSにはさまざまなライセンスが存在し、それぞれに遵守すべき条件があります。
ソフトウェアコンポジション解析(Software Composition Analysis:SCA)は、ソフトウェア開発において使用されるオープンソースコンポーネントやサードパーティライブラリのセキュリティリスクの評価ならびにライセンスの管理を行う手法です。
オープンソースライブラリ選定上の課題
|
|
|
|
|
OpenTextがForrester社に依頼した調査結果によると、自社の導入ポリシーに準拠したオープンソースライブラリの選定作業に膨大な時間を要していることが明らかになっています。
オープンソースの選定プロセスを改善することで、セキュリティの強化や開発者の生産性向上、コストの削減が行えます。
レポートでは、以下について記述されています。
・多くの企業がオープンソースの選定で苦労している点はどこか?
・セキュリティと効率を大幅に向上させる好機
・自動化することで得られる多くのメリット
英語のみのご提供となりますが、ご興味のある方は是非こちらからご覧ください。
最新の自動導入ポリシーを採用しているOpen Source Selectとは?
|
|
|
|
|
Open Source Selectは、上述の課題を解決する独自の「スタートレフト」型ソリューションです。
開発者は、シフトレフトで知られているコーディング時の脆弱性対策ではなく、コーディング以前の「スタートレフト」段階から、セキュリティ、コンプライアンス、コミュニティの健全性に関する、自社の導入要件を満たす適切なオープンソースコンポーネントを選択できます。
最新の自動導入ポリシーシステムによって、開発コードブランチに統合される前に、潜在的な問題を未然に防ぐことができます。また、Open Source Selectの革新的なポリシー・オーバーレイ機能により、開発者は利用可能なリソースを可視化し、これまで行われていた社内の承認プロセスを回避でき、場合によっては数週間にも及ぶ時間を短縮することができます。
Open Source Selectと連動する「Debricked Select Extension」はブラウザの拡張機能として提供され、導入が容易で、利用もシンプルです。
この拡張機能は、フリー版にも対応しており、既存のソフトウェアコンポジション解析ツールを補完することもできます。
Debrickedフリー版をご使用中の方はDebricked Select Extensionから、拡張機能をダウンロードいただけます。
|
SAST+SCAで効果的にソフトウェアサプライチェーン対策を
SCAツールは、静的解析ツール(SAST)と組み合わせて利用いただくことで、増加している情報セキュリティ10大脅威 2024の2位にもなっているサプライチェーンの攻撃への対策が強化されます。
2024年6月19日(水)15時に、「ソフトウェアサプライチェーン攻撃対策セミナー」(オンラインセミナー)をNRIセキュアテクノロジーズ株式会社と共同開催いたします。
本Webinarでは、限られた時間の中ではありますが、静的解析とソフトウェアコンポジション解析を活用したソフトウェアサプライチェーン攻撃対策として、Open Source Selectのご紹介も行います。
サプライチェーン攻撃対策や、SBOM管理などをご検討中のお客様は、是非この機会にお申し込みください。
お申込はこちらのNRIセキュアテクノロジーズ様のWebページよりお願いいたします。
|
|
|
|
|
|
|
|
|
|
