オープンソースセキュリティとは、一般的にはソフトウェアコンポジション解析(SCA)と呼ばれ、ユーザーにアプリケーションのオープンソースインベントリのより良い可視性を提供する手法です。 これはバイナリの指紋を介してコンポーネントを確認することで行われ、専門的にキュレートされた独自の研究を活用し、独自のインテリジェンスに正確なスキャンを照合するだけでなく、開発者がよく使用するツールの中に直接的にこのインテリジェンスを提供します。
オープンソースとは、誰でも自由に編集したり共有したりできる、アクセス可能なソースコードを備えたソフトウェアを指します。 ソースコードとは、ソフトウェアの一部ですが、ユーザーからは見えません。コードプログラマーが作成し、編集してソフトウェアの動作を変更できます。 開発者やプログラマーはプログラムのソースコードへアクセスして機能を足したり、正しく動作しない部分を修正したりすることでソフトウェアを改良できます。
現代のペースが速いビジネス界では、ソフトウェアチームはビジネスの要求に遅れを取らないためにDevOpsといったアジャイル型開発の実践を採用しています。 これらの実践から開発者には、アプリケーションをもっと早く構築して展開するという、大きなプレッシャーがかかっています。 短いソフトウェアリリースサイクルで問題なく目標に達成するために、開発者はよくオープンソースソフトウェアのコンポーネントを使用します。 オープンソースソフトウェア(OSS)は無償配布されているため、コスト効率は抜群です。 OSSから始めて、ニーズに合わせて微調整を行うことで、多くの開発者がメリットを感じています。 コードはオープンであるため、必要な機能を追加するためにコードを編集するだけの作業になります。
これはすでに明らかです。開発者はオープンソースソフトウェアを使用しています。
しかし、それがどのように管理されるべきかといった点は疑問が残ります。これには正当な理由があります。
理由は次のとおりです。
Fortifyが推奨するソフトウェアコンポジション解析(SCA)パートナーのSonatypeの研究チームは最近、最新のソフトウェアサプライチェーンの状況にて次のことを発見しました。
管理されたソフトウェアサプライチェーンで脆弱性の高いオープンソースコンポーネントのリリースの使用が55%減少
企業は自ら記述したコードだけでなく、オープンソースコンポーネントから使用するコードの安全性も確保する必要があります。 これが、多くの組織がSonatypeを取り入れて、SDLC全体でオープンソースガバナンスを大規模に自動化し、セキュリティを開発と構築の段階でシフトレフトしている理由です。
カスタムコードとオープンソースコードのセキュリティのためのトップクラスの統合ソリューションを、FortifyとSonatypeで見出します。 Fortify on Demandへの統合により、1回のスキャンだけで正確なオープンソースインテリジェンスがカスタムコードとオープンソースコンポーネントのアプリケーションのセキュリティ問題に360度の視野を提供します。 オープンソースとカスタムコードの脆弱性のために、1回のスキャンとダッシュボードを用いて検索を実行できます。
