博客家

x射线とArtifactoryでDevSecOpsに対応する4のメリット

通过保罗花园

5分钟阅读

DevOpsにて利用される様々なツールに対応すること(ユニバーサル)がJFrog Artifactoryの特長の一つです。CI / CDパイプライン自動化のためにJenkins、CircleCI、Bitbucketを利用しているかどうかに関係なく、Artifactoryはそれらのツールはもちろん、他のツールとも連携して動作します。また、アーティファクトの保存先もオンプレミス、クラウドのいずれの場合でもArtifactoryの管理下に置くことができます。対応するクラウドの種類についても Artifactoryは主要なクラウドであるAWS, GCP, Azureに対応しています。

Artifactoryは,現在使用しているツールと共に動作しますし,ツールの変更があっても新しいツールとの併用可能です。

私たはセキュリティスキャンルであるJFrog x射线をDevSecOpsにおいてArtifactoryを補完する役割を担う製品としました。JFrog x射线という選択肢が必要となる理由にいて記載します。

リポジトリマネ,ジャ,にとって重要な理由

Artifactoryの特長を受け継ぎ,x射线もユニバ,サルとなっており,多くのパッケ,ジの種類をサポ,トします。
Maven, Gradle npm、NuGet RubyGems,码头工人などいずれを使用していても,x光はリリースされたビルドからセキュリティリスクを排除するとともに,ライセンスポリシーへの準拠まで保証します。

セキュリティへの懸念はスタンドアローンで留まることはないため,x光もスタンドアローンには留まりません。DevSecOpsにおいて脆弱性の検知を行うためには,ビルド時のトレ,サビリティを必須とします。セキュリティとラ@ @センス準拠への対応は後からでは手遅れとなります。そのため,これらはア,ティファクト管理システムにしっかりと組み込む必要があります。それにより,万が一,アプリケーションの脆弱性を見つけた時には,発生源や他のコンポーネントへの影響をチェックできるのです。

シフトレフト戦略をきちんと成功させるには,SDLC(システム開発ライフサイクル)全体でバイナリリポジトリマネージャーとセキュリティスキャンを連携させる必要があります。主なメリットは以下のとおりです。

1.Artifactoryとネ@ @ティブに統合

他のJFrog製品と同様に,x光は仮想マシンやKubernetesクラスタへ簡単にインストールできます。セットアップも簡単で,すぐに起動して実行できます。複雑な統合の設定等は必要ありません。x光にArtifactoryのURLを指定し、ライセンスキーを入力するだけで開始できます。

x光をインストールして実行するとArtifactoryからすぐにアクセスできるようになり,セキュリティやライセンススキャンを行うリポジトリを有効にできます。新しい設定や学習しなければならないuiはありません。sdlcパプランのアティファクトを監視するために今まで使用してきたものと同じです。x射线を使用すれば,Artifactoryで各ア,ティファクトに,いて確認できます。

JFrog x射线集成

Artifactoryやx射线のアップデ,トも心配ありません。それぞれが補完し合うツールとして常に適切に統合されているため,統合するためにシステムを停止したり長時間の検証テストを行う必要はありません。この2の製品が統合されることで多くの機能がアップデトされてシムレスに連携します。

2.過激なまでの透明性

Artifactoryを直接x光に接続すると,すべてのリポジトリがセキュリティスキャンされ,ソフトウェアコンポーネントアーキテクチャに対して過激なまでの透明性を提供します。

システム内の全コンポーネントに対してx光の再帰スキャンを実行するようにArtifactoryのリポジトリを設定し,ソフトウェアに影響を与える最小単位のバイナリまで掘り下げて分析します。

JFrog x射线扫描过程

さらにx光はリポジトリ内にある既存のコンポーネントを継続的にスキャン・分析するので,実際の稼働環境に既に導入済みのものに対しても脆弱性を発見した際には通知します。

このようにx光はArtifactoryとネイティブに統合されているので,アーティファクト単体だけでなく,アーティファクトの関係性まで継続的に分析できることが強みです。これにより,ビルドを構成するパッケ,ジとバ,ナリに過激なまでの透明性が生まれます。

Artifactory npm包查看器

3.脆弱性の影響にいての分析

x光がリポジトリに脆弱性を持ったアーティファクトがあると発見した場合,そのコンポーネントが社内にあるすべてのコンポーネントにどんな影響があるのかを明らかにする情報を提供します。ではそのデタをどうやって理解すればいいのでしょうか?

Artifactoryはリポジトリマネ,ジャです。x光と連携し、これらの結果を分析することでコンポーネントの脆弱性が他のコンポーネントに与える影響を把握できます。

Artifactoryは脆弱性のあるバイナリの影響の連鎖をグラフで表示して,x光からの情報を可視化します。これにより,脆弱性のあるコンポ,ネントを使用した場合の結果をわかりやすく包括的に把握できます。

JFrog x射线丰富影响分析

4.エンド

ソフトウェア開発パイプラインの中心的な存在として,Artifactoryは最初のビルドからステージング,そしてリリースまでアプリケーションのすべてのコンポーネントを把握しています。x光がArtifactoryにネイティブに統合されているため,ソフトウェア開発ライフサイクル全体のセキュリティ監視がエンドツーエンドで行われます。

JFrog x射线端到端支持

x射线はリリ,スを迎えた後もユ,ザ,を保護します。Artifactoryのリポジトリから本番環境に置かれたアプリケーションのスキャンを続け、新たに発見された脆弱性についても探し続けます。さらにKubeXrayを使うことにより,Kubernetesクラスタで現在実行されているコンテナのアプリに対してまでx光のスキャン対象範囲を広げることができます。

ソフトウェアの変更が加速するにれて,新しい脆弱性がますます早いペスで発見されています。それに対抗するにはDevOpsパaapl . exeプラaapl . exeン全体をカバ,するための継続的なセキュリティ対策が必要です。

リスクは決してなくなることはありませんが,Artifactoryもx光も休むことなく監視し続けます。
DevOpsのセキュリティのためにJFrog製品をぜひお試しください。

受欢迎的标签