なぜソースコード中心のDevOpsは「一貫性」を失うのか
JFrogはイスラエル発のグローバル企業で、2018年に日本法人を設立した。DevOpsおよびソフトウェアサプライチェーンプラットフォームを提供しており、自動車業界をはじめとする製造業、金融、IT業界などの大手企業に広く採用されている。
同社でシニアソリューションエンジニアを務める前田友樹氏は、「従来のソースコード中心のDevOpsには課題がある」と指摘した。
従来のDevOpsとは、GitHubなどのVCSでソースコードを管理し、GitHub ActionsやJenkinsなどのCIツールでソースコードをビルドしてテストを行い、さらにCDツールでデプロイや、リリースまでを自動化するといったライフサイクルのことだ。この方法は、20年ほど前に登場した考え方であり、現在も多くの企業が採用している。
しかし、前田氏は「VCSによってソースコード自体のバージョンは管理されているが、ビルド後に生成されるバイナリファイルまで管理できているだろうか。管理が不十分だと、環境間で一貫性が失われる課題が生じる」と指摘した。これがいわゆる「アーティファクト管理」の課題である。
また、外部依存関係におけるセキュリティの課題についても言及した。「ファーストパーティーのコードに対するセキュリティスキャンだけでなく、サードパーティーのオープンソースやライブラリのセキュリティチェックまで徹底できているだろうか」と問いかける。
これ以外にも、開発者がビルドツールを通さずにOSSを直接インストールした場合、ソースコードのスキャンだけでは検知できないリスクがある。また、ビルド環境のOS由来の環境変数にトークンやパスワードなどの機密情報が混入する懸念や、ビルドの過程で悪意あるコードが埋め込まれ、アーティファクトに攻撃の起点となる脆弱性が作り込まれてしまう可能性も否定できない。
事実、こうした開発・ビルドプロセスの隙を突いたソフトウェアサプライチェーン攻撃は直近でも発生している。前田氏は、NPMのOSSに脆弱性が見つかり、そこから攻撃を受けた「NPMサプライチェーン攻撃」の実例を紹介した。サプライチェーン攻撃は、2025年にIPAが発表した「情報セキュリティ10大脅威」の第2位にランクインするほど、深刻な課題となっている。
このようなセキュリティリスクへの対応に加え、近年ニーズが高まっているのが「SBOM(ソフトウェア部品構成表)の作成」だ。これは海外で製品セキュリティに関する法律が整備され、SBOM作成が義務化されたことが大きく影響している。特に、EU向けに製品を輸出している企業からの問い合わせが増えているという。
