TOPアプリ/OS > ソフトウエアサプライチェーンのセキュリティーを守るためのツー...

アプリ/OS

ソフトウエアサプライチェーンのセキュリティーを守るためのツール7選(上)

2022/06/06

Ericka Chickowski CSO

 オープンソースのライブラリー「Apache Log4j」で2021年12月に見つかった脆弱性は波紋を広げた。今やエンタープライズソフトウエアにとって最大のリスクは、社内のチームが自ら開発するコードのセキュリティーとは限らない。現在のソフトウエアのコードベースではコンポーネントやライブラリーをはじめ、オープンソースの各種のコードが大きな割合を占める。こうしたコードに潜む問題点は表層を見ただけでは分からない。

Credit: Thinkstock
Credit: Thinkstock

 実際、DevOpsチームやソフトウエアエンジニアリングチームが内製するシステムやアプリケーションでも、自分たちが直接書いたコードではない部分がかなりの割合を占める。モダンソフトウエアはモジュール型の構成だ。マイクロサービスのようなアーキテクチャーで開発するアプリケーションは、いわばレゴの家のように、あらかじめ部品化されたコードを組み合わせて作る。一般的な処理を実行させたいときに、車輪の再発明をその都度行うのではなく、目的の処理を簡単に実現できるレゴブロックを箱の中から探してきて使うイメージだ。

 現在拡大を続けているソフトウエアサプライチェーンはここで言うブロックの箱にあたる。膨大な数のGitHubリポジトリや、ネット上の各所にあるオープンソースプロジェクトがコードの供給源となっており、時にはカジュアルに使われている。ソフトウエアサプライチェーンのコンポーネントやライブラリーは無数のアプリケーションに取り入れられているほか、開発パイプラインの土台を支えるアプリケーションや開発インフラでも使われている。

 こうしたサプライチェーンで得られるプログラムはレゴブロックとは違い、そのままで完璧に組み合わさるとは限らない。そこで開発者はすべての要素を連携するための独自のコードを作成する。さらに、その成果物自体をオープンソースプロジェクトの形にまとめ、他の人が同様の問題を解決するときのために提供しているケースも多い。こうした背景もあって、ソフトウエアサプライチェーンは拡大を続けている。

↑ページ先頭へ