今日の速いペースで進むビジネスの世界では、ソフトウェア・チームはビジネスの需要に対応するため、 DevOpsの ようなアジャイル開発手法を採用している。このような慣行は、アプリケーションをより迅速に構築しデプロイするよう、開発者に大きなプレッシャーを与える。短いソフトウェアリリースサイクルで目標を達成するために、開発者はオープンソースのソフトウェアコンポーネントを頻繁に使用する。オープンソースソフトウェア（OSS）は自由に配布されるため、費用対効果が非常に高い。多くの開発者は、OSSから始めて自分たちのニーズに合うように微調整することで利益を得ている。コードは公開されているので、彼らが望む機能を追加するためにコードを修正すればいいだけだ。

Q: オープンソースはセキュリティリスクか？

開発者がオープンソースソフトウェアを使用していることは周知の事実です。それでも、どのように管理すべきかについては疑問があります。これがその理由です：オープンソースのコンポーネントは同じではありません。最初から脆弱なものもあれば、時間が経つにつれて悪くなるものもあります。使い方はより複雑になりました。何百億ものダウンロードがあり、ライブラリや直接の依存関係を管理するのはますます難しくなっています。推移的依存関係：Maven（Java）、Bower（JavaScript）、Bundler（Ruby）などの依存関係管理ツールを使っている場合、サードパーティの依存関係を自動的に取り込むことになります。平均的な企業で年間30万以上のオープンソースコンポーネントがダウンロードされています。2018年、数十億のオープンソースコンポーネントリリースのダウンロードにおいて、オープンソースコンポーネントの10個に1個に既知のセキュリティ脆弱性がありました（10.3% ）。51% JavaScript パッケージのダウンロードに既知のセキュリティ脆弱性が含まれていました。71% 2014年以降、オープンソース関連の侵害が確認または疑われる件数が増加

Q: ソフトウェアのオープンソース脆弱性を特定するには？

企業は、自分たちが書いたコードだけでなく、オープンソースのコンポーネントを利用したコードも保護する必要があります。そのため、多くの組織がSonatypeを使用して SDLC 全体にわたってオープンソースガバナンスを大規模に自動化し、開発およびビルドの段階でセキュリティをシフトしています。 OpenText™ Cybersecurity Cloudと Sonatypeによる 、カスタムコードとオープンソースコードのセキュリティのためのクラス最高の統合ソリューションをご覧ください。正確なオープンソースインテリジェンスは、1回のスキャンで、カスタムコードとオープンソースコンポーネントにわたるアプリケーションのセキュリティ問題を360度見渡せます。単一のスキャンとダッシュボードで、オープンソースとカスタムコードの脆弱性の検索を実行できます。Fortifyはまた、より迅速かつ正確な結果を得るために、最先端の機械学習を使用した Debrickedを通じて 、オープンソースのインテリジェンスとセキュリティを提供しています。Debrickedは、開発者が使いたくなるようなクラウドネイティブなソフトウェア構成分析ソリューションであり、生産性を向上させます。このソリューションは、DevOpsライフサイクルにシームレスに統合された全体的なアプローチを採用し、ソフトウェアのサプライチェーンリスクをプロアクティブに管理します。

概要

オープンソースセキュリティは、一般的にソフトウェア構成分析（SCA）と呼ばれ、アプリケーションのオープンソースインベントリをより良く可視化するための方法論です。これは、バイナリー・フィンガープリントを通じてコンポーネントを検査し、専門的にキュレートされた独自のリサーチを活用し、その独自のインテリジェンスと正確なスキャンを照合し、さらに開発者がお気に入りのツール内でこのインテリジェンスを直接証明することによって行われる。

オープンソースとは何か？

オープンソースとは、ソースコードにアクセス可能で、誰でも自由に変更・共有できるソフトウェアを指す。ソースコードとは、ユーザーが目にすることのないソフトウェアの部分であり、プログラマーが作成・編集してソフトウェアの動作を変更できるコードのことである。プログラムのソースコードにアクセスすることで、開発者やプログラマーはソフトウェアに機能を追加したり、常に正しく動作しない部分を修正したりして、ソフトウェアを改善することができる。

なぜオープンソースソフトウェアを使うのか？

今日の速いペースで進むビジネスの世界では、ソフトウェア・チームはビジネスの需要に対応するため、DevOpsのようなアジャイル開発手法を採用している。このような慣行は、アプリケーションをより迅速に構築しデプロイするよう、開発者に大きなプレッシャーを与える。短いソフトウェアリリースサイクルで目標を達成するために、開発者はオープンソースのソフトウェアコンポーネントを頻繁に使用する。オープンソースソフトウェア（OSS）は自由に配布されるため、費用対効果が非常に高い。多くの開発者は、OSSから始めて自分たちのニーズに合うように微調整することで利益を得ている。コードは公開されているので、彼らが望む機能を追加するためにコードを修正すればいいだけだ。

オープンソースはセキュリティリスクか？

開発者がオープンソースソフトウェアを使っているのは周知の事実だ。

それでも、どのように管理すべきかについては疑問がある。

その理由はこうだ：

オープンソースのコンポーネントは、同じようには作られていない。最初から脆弱なものもあれば、時間の経過とともに悪くなるものもある。
使い方はより複雑になっている。何百億ものダウンロードがあり、ライブラリや直接の依存関係を管理するのはますます難しくなっている。
推移的依存関係：Maven（Java）、Bower（JavaScript）、Bundler（Ruby）などの依存関係管理ツールを使っている場合、サードパーティの依存関係を自動的に取り込むことになる。
平均的な企業で年間30万以上のオープンソースコンポーネントがダウンロードされている。
2018年、数十億のオープンソースコンポーネントリリースのダウンロードにおいて、オープンソースコンポーネントの10個に1個に既知のセキュリティ脆弱性がありました（10.3% ）。
51% ダウンロードされたJavaScriptパッケージに既知のセキュリティ脆弱性が含まれていた。
71% 2014年以降、オープンソース関連の侵害が確認または疑われる件数が増加

ソフトウェアのオープンソース脆弱性を特定するには？

企業は、自分たちが書いたコードだけでなく、オープンソースのコンポーネントから消費するコードもセキュアにする必要がある。そのため、多くの組織がSonatypeを使用して、SDLC全体にわたってオープンソースガバナンスを大規模に自動化し、開発およびビルドの段階でセキュリティを移行しています。

OpenText™ Cybersecurity Cloudと Sonatypeによる、カスタムコードとオープンソースコードのセキュリティのためのクラス最高の統合ソリューションをご覧ください。正確なオープンソースインテリジェンスは、カスタムコードとオープンソースコンポーネントにわたるアプリケーションのセキュリティ問題を、1回のスキャンで360度見渡すことができます。単一のスキャンとダッシュボードで、オープンソースとカスタムコードの脆弱性の検索を実行できます。

Fortifyはまた、より迅速で正確な結果を得るために、最先端の機械学習を使用したDebrickedを通じて、オープンソースのインテリジェンスとセキュリティを提供しています。Debrickedは、クラウドネイティブなソフトウェア構成分析ソリューションであり、開発者が使いたがり、ひいては生産性を向上させます。このソリューションは、DevOpsライフサイクルにシームレスに統合された全体的なアプローチを採用し、ソフトウェアのサプライチェーンリスクをプロアクティブに管理します。

Resources

Threat detection and response