脆弱性管理ツール「yamory」でエンジニア支援 ビズリーチ：対応優先度と対応策を自動通知

ビズリーチは、オープンソースソフトウェアの脆弱（ぜいじゃく）性管理ツール「yamory」の提供を開始した。システムが利用しているOSSの状況を自動的に把握し、脆弱性を管理する。

[＠IT]

　ビズリーチは2019年8月27日、オープンソースソフトウェア（OSS）の脆弱性管理ツール「yamory」を提供開始すると発表した。同社は、OSSの脆弱性をyamoryで管理することで、セキュリティ対策にかかる工数を削減し、システム開発の生産性を向上させるとしている。

　yamoryは、自社開発しているシステムが利用しているOSSの状況を自動的に把握し、脆弱性情報を管理するサービス。OSSの脆弱性情報と攻撃用コードを収集したyamoryの脆弱性情報データベースと、システムが利用しているOSSを照合して、システムの脆弱性を分析する。そして、Webシステムに被害をもたらす危険性があるか、検出した脆弱性に関連した攻撃コードが流通しているか、脆弱性が検出されたシステムが外部からアクセス可能かといったリスク度合いを考慮して対応優先度を分類し、対応優先度とその対応策をシステムの開発チームに通知する。

OSSの脆弱性を自動で可視化（出典：ビズリーチ）

GitHubと連携し、リポジトリ単位での脆弱性チェックができる

　yamoryは、GitHubとの連携や、コマンドラインから脆弱性のスキャンができる。GitHubと連携させると、GitHubで管理しているリポジトリ単位で毎日脆弱性をスキャンできる。脆弱性への対応状況を、開発チームで共有することも可能だ。

　ビズリーチの取締役でCTO（最高技術責任者）兼CPO（最高個人情報責任者）を務める竹内真氏は、「近年、OSSの普及に伴い、サイバーリスクが急激に増大し、OSSの脆弱性を突いた深刻なサイバー攻撃が続出している。yamoryを利用することで、現場のエンジニアは膨大なタスクから解放され、サービス開発に集中できる。yamoryは、未来を創るエンジニアが安心して技術を生かし、生産性高く開発できる世界を目指す」と述べている。

対応優先度の分類と脆弱性の対応状況の推移（出典：ビズリーチ）

　なおSynopsysの調査「2018 Open Source Security and Risk Analysis」によると、商用アプリケーションの96％がOSSを利用しており、そのうちOSSに由来する脆弱性が含まれるものは78％に上るという。