BT

最新技術を追い求めるデベロッパのための情報コミュニティ

寄稿

Topics

地域を選ぶ

InfoQ ホームページ ニュース WhiteSourceが無償のオープンソース脆弱性チェックツールをローンチ

WhiteSourceが無償のオープンソース脆弱性チェックツールをローンチ

原文(投稿日:2018/08/10)へのリンク

オープンソースのセキュリティおよびライセンスコンプライアンス管理ソリューションプロバイダのWhiteSourceが、Vulnerability Checkerをローンチした。オープンソースのクリティカルな脆弱性に関するアラートを提供する、新しい、無償のスタンドアロンCLIツールだ。

Vulnerability Checkerはデスクトップアプリケーションとして、WhiteSourseのWebサイトから直接ダウンロード可能である。前月のトップ50の脆弱性に対して、任意のライブラリのインポートとスキャン、および選択した開発プロジェクト上でのチェックの実行を行う機会をユーザに提供する。スキャンしたライブラリのオープンソースコンポーネントに、前月のレポートでトップに挙げられたオープンソースのセキュリティ上の脆弱性がひとつでも含まれていれば、アラートを出力する。

オープンソースコミュニティのコントリビュータと研究者たちは毎月、オープンソースプロジェクトで新たに発見されたセキュリティ脆弱性を何十件も報告している。WhiteSourceのリサーチチームでは'Top Open Source Vulnerabilities of the Month’レポートを公開して、過去数ヶ月間、ユーザに最も影響を与えた脆弱性を概説することにより、オープンソースにおける適切なセキュリティとコンプライアンスの促進を支援している。WhiteSourceの新しいVulnerability Checkerは、同社リサーチチームのこの月次レポートと連携して、ユーザプロジェクト内にあるすべてのオープンソースコンポーネントを検出し、当月の新たな脆弱性が検出された場合は即時にアラートを発効する。

共同設立者兼CEOであるRami Sass氏に、新ツールの詳細について尋ねた。

InfoQ: このサービスの課金は、以前はどのようになっていたのでしょう?

Rami Sass: Vulnerability Checkerは、WhiteSourceのまったく新しいサービスです。

InfoQ: どのような方法で脆弱性に優先順位を付けて、トップ50を決めているのでしょうか?

Sass: CVSSスコア(脆弱性の重要度)と、オープンソースコミュニティが提供ないし推奨しているフィックスに基づいて、すべてのオープンソースの脆弱性に優先順位を付けています。上位50項目については、あらゆる規模および業種の500を越える企業からなる当社のユーザベースへの影響をもとに、当社のリサーチチームが選択しています。それぞれの脆弱性の発生回数をカウントして、影響を受けているプロジェクト数に基づいて評価しているのです。

InfoQ: ‘リアルタイム’は、どのような文脈で使われているのでしょう?

Sass: 当社のアプリケーションは、プロダクトに含まれている脆弱性に関する情報を、数分以内にユーザに提供します。この情報は、7月1日から7月31日までに報告されたすべての脆弱性に基づいた最新のもので、リリース前日(8月8日)までに利用可能なすべてのパッチが含まれています。情報は今後も継続的に更新されますので、1つ前の暦月の上位50項目に基づいた、最も正確な脆弱性をユーザに提供します。

InfoQ: オープンソースの脆弱性検索以外のサービスも提供しているのでしょうか?

Sass: はい、開発中のソフトウェアで使用しているオープンソースコンポーネントの安全性と管理を支援しています。オープンソースの脆弱性の検出と修正以外にも、WhiteSourceでは、オープンソースコンポーネントの選択と承認、トラッキングというプロセス全体を自動化して、オープンソースコンプライアンスのプロセス全体を自動化しています。

InfoQ: ソースコントロールやCIなど他のツール、あるいはDevOpsツールチェーンの他の部分との統合は可能ですか?

Sass: 無償ツールではない、完全なWhteSourceソリューションでは、リポジトリからビルドツール、パッケージマネージャ、CIサーバ、さらにはイシュートラッカに至るまで、ソフトウェア開発ライフサイクル(SDLC)全体を通じて、あらゆる開発ツールとの統合を実現しています。一般的なすべての開発ツールに統合可能なプラグインを用意しています。ビルドやコミットの実行毎にプラグインがディジタル署名を計算し、当社のデータベースとクロスリファレンスを取ることによって、依存関係を含むすべてのオープンソースコンポーネントを検出します。コンポーネントが検出されれば、セキュリティや品質、ライセンスに関するすべての関連情報が取得されます。

InfoQ: アラートはどのようなものですか?問題の性質や修正手順に関して、どの程度、詳細な情報が提供されるのでしょう?

Sass: Vulnerability Checkerでは、ユーザが要求したライブラリのスキャンが完了すると、ソフトウェアおよびパス内で検出されたすべての脆弱性が表示されて、どのライブラリにどのような脆弱性が含まれているかが示されます。さらにCVSS 3.0のスコアの表示やリファレンスへのリンク、オープンソースコミュニティの提案する推奨フィックスも提供されます。さらにWhiteSourceのフルプラットフォームでは、脆弱性のある関数を実際に呼び出しているかどうかの情報や、(前月の上位50項目だけでなく)すべての既知の脆弱性を迅速かつ短時間に修正するための完全なトレース情報なども提供します。WhiteSourceは、オープンソースコンポーネントの選択プロセスから承認プロセス、脆弱性の発見とリアルタイムでのフィックスまで、その管理全体を自動化します。このサービスは使用する開発者ごと、つまりアプリケーション開発に関与する開発者数に対して、年単位で課金されるSaaSとして提供されます。オープンソースプロジェクトには、フルプラットフォームサービスを無償で提供します。

InfoQ: どのような人をユーザとして想定していますか?

Sass: この無償ツールは開発者やDevOpsチーム、セキュリティの専門家向けに設計されていますが、コードライブラリを所有していて、そのライブラリに当月の上位50件の脆弱性が含まれているか知りたいのであれば、誰でも利用できます。

InfoQ: WhiteSourceのリサーチチームについて、もう少し詳しく教えてください。

Sass: WhiteSourceチームはオープンソースコミュニティに全幅の信頼を置いています。オープンソースプロジェクトの安全性向上と管理に関して、コミュニティは素晴らしい働きをしていると思います。特に過去2年間においては、CVE(Common Vulnerability and Exposures)の数が2017年の倍にまで増えているという事実が示すように、脆弱性に関する意識は上昇傾向にあります。そこで問題となり初めているのが、オープンソースのセキュリティに関する情報が多数のデータベースに分散している上に、情報の大多数が適切に索引付けされていないため、ユーザがその情報を利用できないことです。当社の研究チームが注目しているのはこの部分です。当社のリサーチチームは、イスラエルとボストンに分かれた18人の研究者とデータアナリストで構成されていて、オープンソースのセキュリティ情報の新たなリソースを見つけ出して索引を付加し、データの充実化と検証を行なっています。情報を収集して自動的に採点するために独自のアルゴリズムを開発していますが、個々の脆弱性については、当社のリサーチチームが手作業によって検証することで、疑陽性ゼロをユーザに提供することで、当社の目的を達成しています。

WhiteSource Vulnerability Checkerは、このリンクからダウンロード可能だ。

この記事を評価

採用ステージ
スタイル

この記事に星をつける

おすすめ度
スタイル

BT