SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

CodeZine編集部では、現場で活躍するデベロッパーをスターにするためのカンファレンス「Developers Summit」や、エンジニアの生きざまをブーストするためのイベント「Developers Boost」など、さまざまなカンファレンスを企画・運営しています。

Developers Summit 2022 Summer レポート(PR)

SBOMの脆弱性管理がもたらす品質とスピード向上でDevSecOpsを進めよう【デブサミ2022夏】

【D-6】「サプライチェーン攻撃」に立ち向かう!SBOMを使った脆弱性管理がもたらす品質とスピード向上

  • このエントリーをはてなブックマークに追加

SBOMを始めるならSCAも知り、DevSecOpsへと歩みを進めよう

 SBOMにまつわる懸念もある。例えば「ソフトウェアに関する情報を全部さらすことにリスクはないのか? 情報漏えいとならないのか?」がある。これについて横田氏は「ソースコードを公開するものではない」と指摘する。攻撃者にとってSBOMは頼りになる情報にはならず、SBOMを公開するかどうかも現状では任意となっている。

 先にSBOMに関連するツールを挙げたが、それに近いものにSCA(ソフトウェアコンポジション解析)ツールもある。これはSBOMを作るかどうかに関係なく、ソフトウェアをスキャンして脆弱性やライセンス違反をチェックする。世の中にはさまざまなSCAツールがあり、CI/CD実行時にSCAも自動で行うように組み込むのが「基本」と横田氏は言う。

SCA(ソフトウェアコンポジション解析)
SCA(ソフトウェアコンポジション解析)

 そのためSBOMを始めるにあたり、もしSCAが未着手であれば横田氏は「まずはSCAから」と勧める。SCAを使えば脆弱性診断で問題を見つけたとしても、ライブラリのバージョンを上げれば解決することも多い。脆弱性対策としてもSCAは頼もしい。

 また横田氏は「SBOMの作成やSCAはソースコードではなく、成果物(アーティファクト)に実施するのが望ましい」と話す。理由として、アーティファクトは依存解決が済んでおり、ソースコードにない情報を持っているためと、またソフトウェアはビルドのたびに内容が変わる可能性があるためと説明する。

 今日の話を聞いて「まだ遠い未来かな」と感じているのであれば、横田氏は「いつか必要になった時のために、せめてSBOMの存在を覚えていただけるとうれしい」と話す。SBOMはDevSecOps、つまり安全なソフトウェアを効率良く提供するために重要な要素となるからだ。開発者がソフトウェアの仕様や開発など本来やるべきことに専念できるようにするためにも、SBOMやSCAツールを取り入れることを検討してもいいだろう。

 実際、横田氏も開発者時代は「セキュリティは苦手で、セキュリティ担当者を悩ませる存在だった」と明かす。「少しでもDevSecOpsを身近に感じてください」と横田氏は言う。

JFrogに2人目のデベロッパーアドボケイト、佐藤氏がジョイン

 ここからは2022年6月にJFrogに2人目のデベロッパーアドボケイトとしてジョインした佐藤由久氏が加わり、横田氏と開発者の現場について対談した。佐藤氏はアプリケーション開発エンジニアやITコンサルタントなどを経験し、2017年に地元の山形にUターン。現在はリモートワークをしている。

 セキュリティではなく開発メインの経験がある点では横田氏と同じ。開発者時代を振り返ると、要件定義を進めていく時に顧客からはセキュリティについての明確な条件はなく、ざっくりと「ちゃんとやってね」的な指示で終わる場合があった。そのため「これを守っていきます」と非機能要件をまとめて、提案していた。そうしたなかで役に立ったのがSCAのようなツールだったと佐藤氏は言う。

 佐藤氏は「開発時にはアーティファクトを継続的に見て行くことが力になります。アーティファクトを管理し、リリース後も継続的にSCAツールなどでチェックをすることが重要です。こうした脆弱性をチェックするツールを使うことで、エンジニアの負荷を下げ、エンジニアが少しでもハッピーになるように、そして本当に力を割きたいところに力を割けるように、情報発信していこうと思います」とデベロッパーアドボケイトとしての抱負を述べた。

関連リンク

この記事は参考になりましたか?

  • このエントリーをはてなブックマークに追加
Developers Summit 2022 Summer レポート連載記事一覧

もっと読む

この記事の著者

加山 恵美(カヤマ エミ)

フリーランスライター。茨城大学理学部卒。金融機関のシステム子会社でシステムエンジニアを経験した後にIT系のライターとして独立。エンジニア視点で記事を提供していきたい。EnterpriseZine/DB Onlineの取材・記事や、EnterpriseZine/Security Onlineキュレーターも担当しています。 Webサイト:http://emiekayama.net

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

  • このエントリーをはてなブックマークに追加
CodeZine(コードジン)
https://codezine.jp/article/detail/16306 2022/09/16 12:00

おすすめ

アクセスランキング

アクセスランキング

イベント

CodeZine編集部では、現場で活躍するデベロッパーをスターにするためのカンファレンス「Developers Summit」や、エンジニアの生きざまをブーストするためのイベント「Developers Boost」など、さまざまなカンファレンスを企画・運営しています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング