"DevOps"の実現には不可欠なオープンソースソフトウェア
安全に使えていますか？

"DevOps"から"DevSecOps"へ

開発チーム（Development）と運用チーム（Operations）が緊密に協力・連携することにより、迅速・頻繁・確実なリリースを目指す"DevOps"という仕組みの導入が多くの企業において進んでいます。

しかし、大抵の場合、既存の開発ワークフローにはセキュリティを徹底するための仕組みも組み込まれています。セキュリティ関連の深刻な脅威や事件が毎日のように世間を騒がせている現在、 セキュリティを無視することはできない一方で、このセキュリティ担保のため仕組みが"DevOps"のような迅速な開発ワークフローを回そうとしたときに、阻害要素となってしまうこともあります。

これは、従来の開発プロセスでは、"DevOps"とセキュリティテスト・監査が分離していることが要因です。アプリケーションやシステムの開発が終わってから、セキュリティチームによるテストが行われ、 仮に脆弱性が見つかり修正が発生した場合、手戻りによるコスト増やスケジュールの遅延につながってしまいます。

このような問題の解決策として、"DevOps"の開発ワークフローでセキュリティ（Security）を分離することなく、最初から組み込んだ"DevSecOps"という取り組みが注目されています。

この"DevSecOps"を実現する上で重要なポイントとなるのが、セキュリティテストの自動化です。

セキュリティテストの自動化 for OSS

ソフトウェア開発の生産性をアップして、"DevOps"を実現するためには、ほとんどの場合でOSSの利用が必要となります。事実、市場に出回っているソフトウェアコードの 80%近くにOSSが使用されていると言われています。

「Checkmarx CxSCA」は、Checkmarx社が独自にデータベース化した世界中のOSS情報をもとにOSSライブラリを解析し、OSSに関連する以下の３つリスク（セキュリティ上のリスク、ライセンス上のリスク、運用上のリスク）を自動で分析・可視化します。

セキュリティ上のリスク

世界中のOSS情報を集約したデータベースをもとにして解析を行い、利用されているOSSに既知の脆弱性がないかをチェックします。

• データベースとの正確なマッチングにより、誤検出を最小限に抑えます。
• 検出された脆弱性については、共通脆弱性評価システム（CVSS：Common Vulnerability Scoring System）に基づいて、その重大度が算出されるため、優先順位をつけて対処することができます。
• Checkmarx社の脆弱性静的解析ツール（Checkmarx CxSAST）と連携して使用することで、OSSの脆弱性チェックと同時に、独自に開発したソースコードの脆弱性チェックも行うことができます。

ライセンス上のリスク

各OSSの利用ポリシーをチェックし、ライセンス違反のリスクをレベル別（リスク高/中/低）に分類します。

• OSSの利用について、会社やプロジェクトの運用ルールに沿ったポリシーを事前に設定しておくことで、開発現場でも容易にそのポリシーに遵守した利用ができているかを判断することができます。

運用上のリスク

報告されている脆弱性やバグが修正されていない古いバージョンのOSSが利用されていないかをチェックします。

• 古いバージョンのOSSの利用を検出した場合、修正候補（脆弱性やバグが修正済みの新しいバージョン）を提示します。

解析できるプログラミング言語/フレームワーク

プログラミング言語

• Java
• TypeScript
• Java Script
• .NET

フレームワーク

• React
• Angular
• Windows Communication Foundation
• Windows Presentation Foundation
• Java Spring

技術的なご質問に関しては、以下までご連絡ください。

※ サポート受付時間：9:30～17:30（土日、祝日を除く）

お問い合わせに際してのお願い：

1. お問い合わせのE-mailに、次の情報を付加してください。それによって、より早い回答をお届けすることができます。
   • ご使用になっているOSの種類とバージョン
   • ご使用になっている製品のバージョン
2. エラーメッセージが出ている場合は、そのエラーメッセージを正確にお送りください。GUI の場合は、画面をキャプチャした画像ファイルをお送りください。
3. 可能な限り、その問題が発生した経緯、再現の手順をお知らせください。