資料の紹介
オープンソースソフトウエア(OSS)は今や、企業情報システムの開発・運用になくてはならない存在になった。近年、普及しつつあるDevOpsやアジャイル開発においても、必要な性能と機能を確保するうえで、数多くのOSSコンポーネントの有効性が実証されている。しかし、OSSにはリスクもある。
セキュリティ調査会社は毎日のようにOSSの新たな脆弱性を発見・発表しており、その中には重大なものもある。リスクを回避するには、既知の脆弱性がないOSSコンポーネントを選択したうえで、導入後もライフサイクルにわたって監視する必要がある。だが、OSSの種類が増え、バージョンアップも頻繁な現在、手作業ではほぼ不可能だ。
本資料では、こうしたOSSのリスク管理を自動化するソリューションを紹介する。コード、バイナリ、コンテナ内のOSSコンポーネントを識別し、既知の脆弱性をマッピングすることで、ライセンスとコンポーネントの品質リスクを特定。脆弱性を監視し、新規の脅威が報告されたらアラートを生成する。