コードの安全性・安定性を高める開発サイクル ~テスト管理の効率を上げ,脆弱性診断を自動で行う~

第4回 WhiteSource+Jiraの連携でDevSecOpsをやってみよう(後編)

この記事を読むのに必要な時間:およそ 1 分

前編では,WhiteSourceが行うソフトウェアコンポジション解析の大まかな流れを説明しました。後編ではもう少し詳しく実務に結びつきそうな活用パターンを紹介します。

ポリシー設定

WhiteSourceでは,オープンソースコンポーネントの利用可能なライセンス,セキュリティやバグの重大度のしきい値などについてポリシーを定義し,コンポーネントがポリシーにマッチした際のアクションを指定できます。たとえば,ファイル名が特定の命名ルールと一致した場合にホワイトリストに追加したり,利用を許可していないライセンスが利用されている場合にブラックリストに追加したりすることができます。

DevOpsを支援するツールとWhiteSourceの統合

DevOpsを支援するツールとWhiteSourceとの統合について紹介します。

コンテナとの統合

Dockerイメージを利用すると簡単に環境をプロビジョニングすることができ,環境構築にかかる工数の削減や環境の差異によるトラブルの回避など,さまざまなメリットを享受できますが,脆弱性があるコンテナを実行すると,システム全体が攻撃や危険にさらされるといったリスクもあります。

WhiteSourceでは,Docker,Azure Container Registry,Amazon ECRなどのコンテナイメージをスキャンして,既知の脆弱性を検出できます。コンテナイメージを定期的にスキャンすることにより,コンテナに潜む脆弱性を把握し,リスク回避の対策を適宜図ることができます。

CIツールとの統合

継続的インテグレーション(CI)は,DevOpsでは欠かすことのできない要素です。WhiteSourceでは,Bamboo,Jenkins,CircleCIなどのCIツールで,ジョブ実行時にソフトウェアコンポジション解析を行うことができます。これにより,ライセンス,セキュリティ,品質に関する問題を早い段階で見つけることができ,問題の複雑化を防ぐことができます。

アプリケーションライフサイクル管理ツールとの統合

チーム間のコラボレーションを活性化させるには,すべての関係者が円滑に情報を共有できることが鍵となります。ALM(アプリケーションライフサイクル管理)ツールを利用して,開発/運用における課題を単一のプラットフォーム上で管理することにより,関係者間の情報共有と円滑なコミュニケーションが図れます。

WhiteSourceでは,JiraやTeam Foundation ServerなどのALMツールと連携し,ポリシーチェックによってコンポーネントがライセンス,セキュリティ,品質などにおいて確認が必要と判定された場合,チケットを自動起票することができます。たとえば,重要度Highにレーティングされた脆弱性をポリシーとして定義し,インベントリに登録されたコンポーネントがポリシーにマッチした場合,自動でチケットを作成できます。

チケットの担当者が作業状況に合わせてステータス管理を行うことにより,作業の漏れを防ぎ,進捗状況を共有できます。また,チケットに対応内容の詳細を記録しておけば,あとからナレッジとして業務改善に役立てることができます。

最後に

Webアプリケーションの国際的なセキュリティガイドラインを発行するThe Open Web Application Security Project(以下,OWASP)から発表された「最も重大なウェブアプリケーションリスクトップ10」にて,⁠脆弱性のあるコンポーネントの使用」がランクインされています。WhiteSourceは,このリスクを回避し,OWASP準拠のWebアプリケーション開発を支援する有用なツールになることは間違いありません。

米国Atlassianから,2年連続で
「Top new business APAC」を受賞。
Atlassianセールスパートナーとして
アジアパシフィックで1位の証

米国Atlassianから,2年連続で「Top new business APAC」を受賞。Atlassianセールスパートナーとしてアジアパシフィックで1位の証

日本だけでなく,アジア圏でもアトラシアン製品販売のトップエキスパートであるリックソフトのWebサイトでは,各アトラシアン製品の体験版を提供しているほか,アトラシアン製品専用のコミュニティも運営しています。まずはアクセスしてみては!

Software Design

本誌最新号をチェック!
Software Design 2019年11月号

2019年10月18日発売
B5判/184ページ
定価(本体1,220円+税)

  • 第1特集
    ターミナルからクラウド管理自由自在
    Microsoft Azureで最新Webアプリ開発
    [Mac x bash][Windows x WSL 2][Visual Studio Code][Windows Terminal]
  • 第2特集
    環境構築から使い方まで実践指導!
    脆弱性スキャナVuls/Trivy/Dockle
    OSSを公開したら人生が変わった3人の開発者
  • 短期集中連載
    Webエンジニアのための時短スマホアプリ開発
    【1】アプリ開発を継続するためにReact Native+Expoをお勧めするわけ

著者プロフィール

古守花織(こもりかおり)

リックソフト株式会社

アトラシアン製品のプリセールスを担当。

アトラシアン認定プロフェッショナル(ACP)の資格取得のための勉強をしつつ,愛犬と一緒に登山を楽しんでます。

動物占いは「虎」ですが,そこまで肉は食べません。