SHOEISHA iD

パスワードを忘れた場合はこちら

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

  • 新規
    会員登録
  • 新規会員登録

ニュース

記事

デブサミ・デブスト

書籍

新着記事一覧を見る

連載記事

人気記事の執筆者

野本 纏花

Innerstudio 鍋島 理人

加山 恵美

小玉 莉子(編集部)

株式会社フォアーゼット 蔀 綾人
イベント
イベント

CodeZine編集部では、現場で活躍するデベロッパーをスターにするためのカンファレンス「Developers Summit」や、エンジニアの生きざまをブーストするためのイベント「Developers Boost」など、さまざまなカンファレンスを企画・運営しています。

講演資料・動画まとめページ

Developers Summit 2026・Dev x PM Day 講演資料まとめ

Developers Boost 2025 講演資料まとめ

Developers X Summit 2025 講演資料まとめ

Developers Summit 2025 FUKUOKA 講演関連資料まとめ

Developers Summit 2025 KANSAI 講演関連資料まとめ

Developers Summit 2025 Summer 講演資料まとめ

翔泳社では、「独習」「徹底入門」「スラスラわかる」「絵で見てわかる」「一年生」などの人気シリーズをはじめ、言語や開発手法、最新技術を解説した書籍を多数手がけています。プロジェクトマネジメントやチームビルティングといった管理職向けの書籍も豊富です。

ITエンジニアとしてのスキルアップ・リスキリングに、ぜひお役立てください。

書籍に関する記事を見る

Developers Summit 2026 セッションレポート(AD)

義務化が進むSBOM作成とサプライチェーン攻撃対策 ——JFrogで実現する「シフトレフト」な脆弱性管理の実践

【20-C-8】なぜソースコード中心のDevOpsではソフトウェアへの脆弱性の混入を防げないのか?

バイナリのライフサイクルを統合管理する3つのコンポーネント

 サプライチェーン攻撃への対策と、SBOM作成の対応を同時に実現できる点がJFrog製品の強みである。

 「ソースコードのビルド後に生成されるバイナリファイルを厳密に管理し、それに対して脆弱性スキャンを実行する。JFrogのプラットフォーム上でバイナリファイルを管理するため、SBOM作成にも同時に対応可能だ」(前田氏)

 同社は、複数の製品を一つのプラットフォームに統合して提供する「JFrog Platform」を展開している。前田氏は、その中から代表的な3つの製品を紹介した。

(1)Artifactory

 「Artifactory」は、ソースコードをビルドした後に生成されるアーティファクト(バイナリファイル)を保管するためのリポジトリである。GitHubなどと同様に「リポジトリ」の概念を持ち、ローカルリポジトリとリモートリポジトリの2種類で管理運用できる。

 ローカルリポジトリでは、ファイルにメタデータを付与してトレーサビリティ(追跡可能性)を持たせることが可能だ。一方のリモートリポジトリは、サードパーティーのオープンソースをダウンロードする際のプロキシとして機能し、一度ダウンロードしたオープンソースをキャッシュする。

 「GitHubやBitBucketのリポジトリはソースコードを管理するための箱だが、Artifactoryのリポジトリはバイナリファイルを専用に管理するための箱であると考えてほしい」(前田氏)

(2)Xray

 「Xray」は、Artifactoryに保管されたアーティファクト(バイナリファイル)に対するSCA(Security Composition Analysis)ツールである。脆弱性、ライセンスおよびコンプライアンス違反、悪意のあるパッケージなどを検知できるほか、SBOM生成機能も備えている。

(3)Curation

 「Curation」は、サードパーティーのオープンソースをダウンロードする際、指定した条件をもとに脆弱性のチェックを行ってくれるツールだ。条件にヒットした場合は、ダウンロード自体をブロックしてくれる、ファイアウォール的な機能を備えている。

 この3つの製品を組み合わせることで、従来のアーティファクト(バイナリファイル)の管理からどう変化するのか。

 従来は、バイナリファイル自体を適切に管理していないケースも少なくなかった。ファイルサーバーに置いたり、DebianやYumのリポジトリを自前で構築して管理したりする方法もあるが、「運用コストが増大し、一貫性を保つのが困難である。また、誰がいつ何のためにビルドしたのかといった情報が残らず、セキュリティ面でも課題が残る」と前田氏は語る。

 そこでJFrogのArtifactoryを利用すると、ローカルリポジトリにビルドしたファイルをアップロードするだけで、バイナリファイルにチェックサムが付与され、一貫性を保持できる。メタデータを付与することで、誰がいつビルドしたかといった情報も確認でき、トレーサビリティも向上する。

 さらに、Xrayを組み合わせれば、Artifactoryに保管されているバイナリファイルを自動でスキャンできるため、脆弱性の継続的な管理が可能になる。

 サードパーティー製ライブラリの管理も改善される。一般的にはNPMなどのパブリックレジストリから直接ダウンロードするが、ネットワークの遅延やアクセス制限(Rate Limit)によって開発が止まるリスクがある。

 「最も懸念すべきは、脆弱性や悪意のあるオープンソースをダウンロードし、気づかないうちに自社製品へ混入させてしまうパターンだ」と前田氏は警鐘を鳴らす。こうしたリスクを回避する上でも、Artifactoryを中心としたエコシステムが役立つ。

 Artifactoryのリモートリポジトリ経由でオープンソースをダウンロードすると、初回はインターネット経由で直接ダウンロードしてキャッシュし、2回目以降はキャッシュ経由で高速にダウンロードすることが可能だ。また、リモートリポジトリにキャッシュされたOSSをXrayが自動的にスキャンして脆弱性を検知。さらにCurationを利用すれば、特定の条件、例えば「CVSSのスコアが9以上」や「悪意のあるパッケージ」といった危険なOSSのダウンロードをブロックすることもできる。

 前田氏は、さらにセキュリティを強化する製品として「Advanced Security」を紹介した。中でも「コンテキスト分析」の機能が好評だという。

 これは、バイナリに含まれる脆弱性が表面化するのかどうかまで自動判定してくれる機能だ。どのような構成が影響を受けるのか、どのように修正すればよいかまで提示される。

 Advanced Securityの追加オプションでは、VS CodeやIntelliJ IDEAといった有名IDE向けのプラグインを提供。これを利用すれば、IDE上でSASTを実行でき、ソースコードに対する脆弱性の診断も可能だ。

 また、VCSと連携する「Frogbot」を使えば、VCS上で検出された脆弱性に対して、修正済みのバージョンへアップデートするためのプルリクエストを自動で作成する。

次のページ
Java/Maven環境におけるビルド情報の追跡とSBOMレポート出力

PREV
NEXT

この記事は参考になりましたか?

Developers Summit 2026 セッションレポート連載記事一覧

もっと読む

この記事の著者

岡田 果子(オカダ カコ)

 IT系編集者、ライター。趣味・実用書の編集を経てWebメディアへ。その後キャリアインタビューなどのライティング業務を開始。執筆可能ジャンルは、開発手法・組織、プロダクト作り、教育ICT、その他ビジネス。

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この著者の最近の執筆記事

丸毛 透(マルモ トオル)

インタビュー(人物)、ポートレート、商品撮影、料理写真をWeb雑誌中心に活動。

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この著者の最近の執筆記事

CodeZine編集部(コードジンヘンシュウブ)

CodeZineは、株式会社翔泳社が運営するソフトウェア開発者向けのWebメディアです。「デベロッパーの成長と課題解決に貢献するメディア」をコンセプトに、現場で役立つ最新情報を日々お届けします。

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この著者の最近の執筆記事

提供:JFrog Japan 株式会社

【AD】本記事の内容は記事掲載開始時点のものです 企画・制作 株式会社翔泳社

この記事は参考になりましたか?

この記事をシェア

CodeZine(コードジン)
https://codezine.jp/article/detail/23661 2026/04/16 11:00

おすすめ

アクセスランキング

アクセスランキング

  1. 1
    GitHub Copilot Proの新規無料トライアル、一時停止を発表
  2. 2
    Visual Studio Code 1.115公開、「Edit Mode」は1.125で完全削除へ
  3. 3
    Google、macOS向けGeminiアプリを全ユーザーに提供開始 NEW
  4. 4
    GitHub、Copilot Pro+で「Opus 4.6 Fast」の提供を終了へ
  5. 5
    95%が失敗する生成AIプロジェクト──成功のカギは「メモリエンジニアリング」にあり
  6. 6
    「AIが発達したらクビじゃない?」と娘に言われ──経験を武器に変える、47歳エンジニアの生存戦略
  7. 7
    Claude Codeによる仕様駆動開発の実践へ! 入門から本格的な開発手法まで解説
  8. 8
    Anthropic、APIスイート「Claude Managed Agents」発表
  9. 9
    「三菱重工が変われば日本の製造業が変わる」——8万人と顧客を支援する内製組織が、縦方向×横方向にプロダクト価値をスケーリングするまで
  10. 10
    C++の新機能を理解する──rangesライブラリとジェネレータ
  1. 1
    AWSが「Amazon S3 Files」を発表、S3バケットをファイルシステムとして利用可能に
  2. 2
    GoogleがGeminiアプリの新機能をまとめて紹介
  3. 3
    AIを“自分専用パートナー”に育てる方法──Gemini CLIとGoogle Antigravityで実践するコンテキストエンジニアリング
  4. 4
    Visual Studio Code 1.115公開、「Edit Mode」は1.125で完全削除へ
  5. 5
    なぜ検知できなかったのか? Axiosを襲った「遅延型」サプライチェーン攻撃の技術的解析
  6. 6
    なぜ内製化した業務アプリは現場定着しないのか──DXを失敗に追い込む「UI/UX」の軽視
  7. 7
    95%が失敗する生成AIプロジェクト──成功のカギは「メモリエンジニアリング」にあり
  8. 8
    脱・「スーパーマンに頼るエンジニア組織」──“強制的な遊び場”づくりから始める構造改革
  9. 9
    Visual Studio Code 1.113がリリース、AIチャットやブラウザ機能が強化
  10. 10
    現在無料で提供されている注目のITエンジニア向け講座5選

イベント

CodeZine編集部では、現場で活躍するデベロッパーをスターにするためのカンファレンス「Developers Summit」や、エンジニアの生きざまをブーストするためのイベント「Developers Boost」など、さまざまなカンファレンスを企画・運営しています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング

  1. 1
    GitHub Copilot Proの新規無料トライアル、一時停止を発表
  2. 2
    Visual Studio Code 1.115公開、「Edit Mode」は1.125で完全削除へ
  3. 3
    Google、macOS向けGeminiアプリを全ユーザーに提供開始 NEW
  4. 4
    GitHub、Copilot Pro+で「Opus 4.6 Fast」の提供を終了へ
  5. 5
    95%が失敗する生成AIプロジェクト──成功のカギは「メモリエンジニアリング」にあり
  6. 6
    「AIが発達したらクビじゃない?」と娘に言われ──経験を武器に変える、47歳エンジニアの生存戦略
  7. 7
    Claude Codeによる仕様駆動開発の実践へ! 入門から本格的な開発手法まで解説
  8. 8
    Anthropic、APIスイート「Claude Managed Agents」発表
  9. 9
    「三菱重工が変われば日本の製造業が変わる」——8万人と顧客を支援する内製組織が、縦方向×横方向にプロダクト価値をスケーリングするまで
  10. 10
    C++の新機能を理解する──rangesライブラリとジェネレータ
  1. 1
    AWSが「Amazon S3 Files」を発表、S3バケットをファイルシステムとして利用可能に
  2. 2
    GoogleがGeminiアプリの新機能をまとめて紹介
  3. 3
    AIを“自分専用パートナー”に育てる方法──Gemini CLIとGoogle Antigravityで実践するコンテキストエンジニアリング
  4. 4
    Visual Studio Code 1.115公開、「Edit Mode」は1.125で完全削除へ
  5. 5
    なぜ検知できなかったのか? Axiosを襲った「遅延型」サプライチェーン攻撃の技術的解析
  6. 6
    なぜ内製化した業務アプリは現場定着しないのか──DXを失敗に追い込む「UI/UX」の軽視
  7. 7
    95%が失敗する生成AIプロジェクト──成功のカギは「メモリエンジニアリング」にあり
  8. 8
    脱・「スーパーマンに頼るエンジニア組織」──“強制的な遊び場”づくりから始める構造改革
  9. 9
    Visual Studio Code 1.113がリリース、AIチャットやブラウザ機能が強化
  10. 10
    現在無料で提供されている注目のITエンジニア向け講座5選