脆弱性管理ツール「yamory」でエンジニア支援 ビズリーチ:対応優先度と対応策を自動通知
ビズリーチは、オープンソースソフトウェアの脆弱(ぜいじゃく)性管理ツール「yamory」の提供を開始した。システムが利用しているOSSの状況を自動的に把握し、脆弱性を管理する。
ビズリーチは2019年8月27日、オープンソースソフトウェア(OSS)の脆弱性管理ツール「yamory」を提供開始すると発表した。同社は、OSSの脆弱性をyamoryで管理することで、セキュリティ対策にかかる工数を削減し、システム開発の生産性を向上させるとしている。
yamoryは、自社開発しているシステムが利用しているOSSの状況を自動的に把握し、脆弱性情報を管理するサービス。OSSの脆弱性情報と攻撃用コードを収集したyamoryの脆弱性情報データベースと、システムが利用しているOSSを照合して、システムの脆弱性を分析する。そして、Webシステムに被害をもたらす危険性があるか、検出した脆弱性に関連した攻撃コードが流通しているか、脆弱性が検出されたシステムが外部からアクセス可能かといったリスク度合いを考慮して対応優先度を分類し、対応優先度とその対応策をシステムの開発チームに通知する。
GitHubと連携し、リポジトリ単位での脆弱性チェックができる
yamoryは、GitHubとの連携や、コマンドラインから脆弱性のスキャンができる。GitHubと連携させると、GitHubで管理しているリポジトリ単位で毎日脆弱性をスキャンできる。脆弱性への対応状況を、開発チームで共有することも可能だ。
ビズリーチの取締役でCTO(最高技術責任者)兼CPO(最高個人情報責任者)を務める竹内真氏は、「近年、OSSの普及に伴い、サイバーリスクが急激に増大し、OSSの脆弱性を突いた深刻なサイバー攻撃が続出している。yamoryを利用することで、現場のエンジニアは膨大なタスクから解放され、サービス開発に集中できる。yamoryは、未来を創るエンジニアが安心して技術を生かし、生産性高く開発できる世界を目指す」と述べている。
なおSynopsysの調査「2018 Open Source Security and Risk Analysis」によると、商用アプリケーションの96%がOSSを利用しており、そのうちOSSに由来する脆弱性が含まれるものは78%に上るという。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
脆弱性検査を行うOSSツール「OpenSCAP」で何が分かるのか
本連載では、グローバルスタンダードになっている「SCAP」(セキュリティ設定共通化手順)、およびそれを基にシステム構成や脆弱性の検査を行うためのOSSツール「OpenSCAP」や、その周辺の技術、用語などを紹介する。今回は、OpenSCAPの環境を構築し、実際に試してみた。
OSS脆弱性管理の課題とベストプラクティスとは――日本シノプシス
@ITは、2018年6月22日、東京で「@ITセキュリティセミナー」を開催した。本稿では、日本シノプシスの講演「OSSの脆弱性管理の課題と効率的な解決策」の内容をお伝えする。
“Hack Everything”をモットーに――リクルートは脆弱性対応をいかにハックしたのか
@ITは、2018年9月11日、東京で「@IT脆弱性対応セミナー」を開催した。本稿では、基調講演「リクルートにおける脆弱性対応の今と未来」の内容をお伝えする。