脆弱性管理ツール「yamory」でエンジニア支援　ビズリーチ：対応優先度と対応策を自動通知

ビズリーチは、オープンソースソフトウェアの脆弱（ぜいじゃく）性管理ツール「yamory」の提供を開始した。システムが利用しているOSSの状況を自動的に把握し、脆弱性を管理する。

[＠IT]

この記事は会員限定です。会員登録（無料）すると全てご覧いただけます。

　ビズリーチは2019年8月27日、オープンソースソフトウェア（OSS）の脆弱性管理ツール「yamory」を提供開始すると発表した。同社は、OSSの脆弱性をyamoryで管理することで、セキュリティ対策にかかる工数を削減し、システム開発の生産性を向上させるとしている。

　yamoryは、自社開発しているシステムが利用しているOSSの状況を自動的に把握し、脆弱性情報を管理するサービス。OSSの脆弱性情報と攻撃用コードを収集したyamoryの脆弱性情報データベースと、システムが利用しているOSSを照合して、システムの脆弱性を分析する。そして、Webシステムに被害をもたらす危険性があるか、検出した脆弱性に関連した攻撃コードが流通しているか、脆弱性が検出されたシステムが外部からアクセス可能かといったリスク度合いを考慮して対応優先度を分類し、対応優先度とその対応策をシステムの開発チームに通知する。

OSSの脆弱性を自動で可視化（出典：ビズリーチ）

GitHubと連携し、リポジトリ単位での脆弱性チェックができる

#CmsMembersControl .CmsMembersControlIn {width:100%;background:url(https://image.itmedia.co.jp/images/spacer.gif) #DDD;opacity:0.05;filter:progid:DXImageTransform.Microsoft.Alpha(Enabled=1,Style=0,Opacity=5);z-index:1;}

続きを閲覧するには、ブラウザの JavaScript の設定を有効にする必要があります。

脆弱性検査を行うOSSツール「OpenSCAP」で何が分かるのか
本連載では、グローバルスタンダードになっている「SCAP」（セキュリティ設定共通化手順）、およびそれを基にシステム構成や脆弱性の検査を行うためのOSSツール「OpenSCAP」や、その周辺の技術、用語などを紹介する。今回は、OpenSCAPの環境を構築し、実際に試してみた。
OSS脆弱性管理の課題とベストプラクティスとは――日本シノプシス
＠ITは、2018年6月22日、東京で「＠ITセキュリティセミナー」を開催した。本稿では、日本シノプシスの講演「OSSの脆弱性管理の課題と効率的な解決策」の内容をお伝えする。
“Hack Everything”をモットーに――リクルートは脆弱性対応をいかにハックしたのか
＠ITは、2018年9月11日、東京で「＠IT脆弱性対応セミナー」を開催した。本稿では、基調講演「リクルートにおける脆弱性対応の今と未来」の内容をお伝えする。