コードの安全性・安定性を高める開発サイクル ~テスト管理の効率を上げ、脆弱性診断を自動で行う~

第4回WhiteSource+Jiraの連携でDevSecOpsをやってみよう(後編)

前編では、WhiteSourceが行うソフトウェアコンポジション解析の大まかな流れを説明しました。後編ではもう少し詳しく実務に結びつきそうな活用パターンを紹介します。

ポリシー設定

WhiteSourceでは、オープンソースコンポーネントの利用可能なライセンス、セキュリティやバグの重大度のしきい値などについてポリシーを定義し、コンポーネントがポリシーにマッチした際のアクションを指定できます。たとえば、ファイル名が特定の命名ルールと一致した場合にホワイトリストに追加したり、利用を許可していないライセンスが利用されている場合にブラックリストに追加したりすることができます。

DevOpsを支援するツールとWhiteSourceの統合

DevOpsを支援するツールとWhiteSourceとの統合について紹介します。

コンテナとの統合

Dockerイメージを利用すると簡単に環境をプロビジョニングすることができ、環境構築にかかる工数の削減や環境の差異によるトラブルの回避など、さまざまなメリットを享受できますが、脆弱性があるコンテナを実行すると、システム全体が攻撃や危険にさらされるといったリスクもあります。

WhiteSourceでは、Docker、Azure Container Registry、Amazon ECRなどのコンテナイメージをスキャンして、既知の脆弱性を検出できます。コンテナイメージを定期的にスキャンすることにより、コンテナに潜む脆弱性を把握し、リスク回避の対策を適宜図ることができます。

CIツールとの統合

継続的インテグレーション(CI)は、DevOpsでは欠かすことのできない要素です。WhiteSourceでは、Bamboo、Jenkins、CircleCIなどのCIツールで、ジョブ実行時にソフトウェアコンポジション解析を行うことができます。これにより、ライセンス、セキュリティ、品質に関する問題を早い段階で見つけることができ、問題の複雑化を防ぐことができます。

アプリケーションライフサイクル管理ツールとの統合

チーム間のコラボレーションを活性化させるには、すべての関係者が円滑に情報を共有できることが鍵となります。ALM(アプリケーションライフサイクル管理)ツールを利用して、開発/運用における課題を単一のプラットフォーム上で管理することにより、関係者間の情報共有と円滑なコミュニケーションが図れます。

WhiteSourceでは、JiraやTeam Foundation ServerなどのALMツールと連携し、ポリシーチェックによってコンポーネントがライセンス、セキュリティ、品質などにおいて確認が必要と判定された場合、チケットを自動起票することができます。たとえば、重要度Highにレーティングされた脆弱性をポリシーとして定義し、インベントリに登録されたコンポーネントがポリシーにマッチした場合、自動でチケットを作成できます。

チケットの担当者が作業状況に合わせてステータス管理を行うことにより、作業の漏れを防ぎ、進捗状況を共有できます。また、チケットに対応内容の詳細を記録しておけば、あとからナレッジとして業務改善に役立てることができます。

最後に

Webアプリケーションの国際的なセキュリティガイドラインを発行するThe Open Web Application Security Project(以下、OWASP)から発表された「最も重大なウェブアプリケーションリスクトップ10」にて、⁠脆弱性のあるコンポーネントの使用」がランクインされています。WhiteSourceは、このリスクを回避し、OWASP準拠のWebアプリケーション開発を支援する有用なツールになることは間違いありません。

米国Atlassianから、2年連続で
「Top new business APAC」を受賞。
Atlassianセールスパートナーとして
アジアパシフィックで1位の証
米国Atlassianから、2年連続で「Top new business APAC」を受賞。Atlassianセールスパートナーとしてアジアパシフィックで1位の証

日本だけでなく、アジア圏でもアトラシアン製品販売のトップエキスパートであるリックソフトのWebサイトでは、各アトラシアン製品の体験版を提供しているほか、アトラシアン製品専用のコミュニティも運営しています。まずはアクセスしてみては!

Software Design

本誌最新号をチェック!
Software Design 2022年9月号

2022年8月18日発売
B5判/192ページ
定価1,342円
(本体1,220円+税10%)

  • 第1特集
    MySQL アプリ開発者の必修5科目
    不意なトラブルに困らないためのRDB基礎知識
  • 第2特集
    「知りたい」「使いたい」「発信したい」をかなえる
    OSSソースコードリーディングのススメ
  • 特別企画
    企業のシステムを支えるOSとエコシステムの全貌
    [特別企画]Red Hat Enterprise Linux 9最新ガイド
  • 短期連載
    今さら聞けないSSH
    [前編]リモートログインとコマンドの実行
  • 短期連載
    MySQLで学ぶ文字コード
    [最終回]文字コードのハマりどころTips集
  • 短期連載
    新生「Ansible」徹底解説
    [4]Playbookの実行環境(基礎編)

おすすめ記事

記事・ニュース一覧