JFrog社は、同社のセキュリティ機能スイートにJFrog Runtimeを導入し、ソフトウェアサプライチェーンプラットフォームにリアルタイムに脆弱性を検出する機能を追加した。このアップデートは、Kubernetesクラスタやクラウドネイティブなアプリケーションを扱う開発者やDevSecOpsチームを対象としている。
JFrog Runtimeは、リアルタイムのモニタリングを提供することで、Kubernetesクラスタのセキュリティを強化する。これにより、チームは実際のリスクに基づいてセキュリティインシデントを検出し、優先順位をつけられるため、脆弱性に迅速に対処できる。セキュリティを開発プロセスに統合することで、JFrog Runtimeはコンテナイメージの完全性の維持を支援し、規制要件を遵守できることを保証する。
JFrog Runtimeは、ソフトウェア開発とデプロイメントのためのセキュリティ対策を強化することで、JFrogの既存の高度なセキュリティ機能スイートを補完する。主な機能であるAI/MLモデルキュレーションは、Hugging Faceのようなオープンソースのリポジトリから潜在的に悪意のあるMLモデルが組織に入る前に検出しブロックすることで、企業がソフトウェアのサプライチェーンを保護できる。JFrogのスケーラブルなセキュリティプラットフォームは、Hugging Faceに対して直接プロキシ機能を提供し、開発者がオープンソースのAI/MLモデルにアクセスできると同時に、悪意のあるモデルを検出してブロックし、ライセンスコンプライアンスを実施する機能を提供し、より安全なAIの利用を保証する。
さらに、Secure OSS Catalogは「ソフトウェアパッケージの検索エンジン」として機能し、JFrogのUIまたはAPIからアクセスできる。公開データとJFrog独自のデータの両方によってサポートされるこのカタログは、すべてのオープンソースソフトウェアパッケージに関連するセキュリティとリスクのメタデータを迅速に把握できるため、ソフトウェア導入のセキュリティと信頼性を高められる。
業界調査によると、アプリケーションの5つに1つはランタイムエクスポージャーを含んでおり、全アプリケーションの20パーセントは実行段階で高リスク、クリティカル、または壊滅的な問題を抱えている。JFrog Runtimeは、コンテナで実行されるような動きの速い動的なアプリケーションのセキュリティを自動化することで、クラウドネイティブ環境の可視化と洞察のニーズに対応する。
クラウドネイティブ環境における重要な課題の1つは、開発ライフサイクルのさまざまな段階にわたって複雑なセキュリティを管理することだ。JFrog Runtimeは、高度なトリアージと優先順位付け機能を提供することで、これを簡素化する。これらの機能は、セキュリティチームがリスクを迅速に特定して軽減するのを助け、開発者がセキュリティ関連のタスクよりもコーディングに集中することを可能にする。
今回のアップデートでは、Google IDと外部リソースのIAMバインディングの処理も改善された。これにより、チームはクラウド上で実行されるアプリケーションのセキュリティを確保しやすくなる。ここで、Terraformのようなツールが重要な役割を果たす。Terraformはオープンソースのインフラストラクチャ・アズ・コード(IaC)ツールで、開発者は宣言型の設定言語を使ってデータセンターのインフラを定義し、プロビジョニングできる。Terraformの外部で管理されるリソースにIAMバインディングを追加する際にGoogle IDを解析することで、JFrog Runtimeはプロセスを簡素化し、エラーの可能性を減らし、クラウドセキュリティをより利用しやすく信頼性を高くする。
これらの機能強化に加えて、JFrog Runtimeはアプリケーションのランタイムエクスポージャーという一般的な問題に対処する。動的でコンテナ化されたアプリケーションのセキュリティを自動化することで、実行段階で脆弱性が検出され、緩和されることを保証する。これは、手作業によるセキュリティチェックが実行不可能な、動きの速い動的アプリケーションに依存している組織にとって特に重要である。JFrog Runtimeをソフトウェアサプライチェーンプラットフォームに統合することで、研究開発、DevOps、セキュリティチーム間のコラボレーションも向上する。
この(JFog Runtimeが導入された)プラットフォームの中核は、Kubernetesクラスタ全体にリアルタイムの監視エージェントを配備し、潜在的な脅威を継続的にスキャンすることである。これらのエージェントはデータをインシデントレスポンスエンジンに送り込み、インシデントレスポンスエンジンはセキュリティインシデントをその重大性と潜在的な影響に基づいて優先順位付けする。この優先順位付けは高度な機械学習アルゴリズムによって行われ、もっとも重要な脆弱性が最初に対処されるようになっている。さらに、コンプライアンスマネージャーは、すべてのコンテナイメージと実行中のインスタンスが規制と組織のポリシーに準拠していることを保証する。このプラットフォームの一元化されたダッシュボードは、セキュリティの状況を表示し、コラボレーションと応答時間を強化する。