AIハッキング - ハッカーは人工知能をサイバー攻撃にどう利用するか

今すぐ読む
サイト翻訳には人工知能を利用しており、正確性を追求しておりますが、必ずしも100%正確とは限りません。ご了承ください。
ホーム/ ブログ / MetaDefender for Jenkins and TeamCity:Secure...
マルウェア解析

JenkinsとTeamCityのためのMetaDefender :Software Secure

By ヴィン・ラム、シニア・テクニカル・プログラム・マネージャー
この記事を共有する

ソフトウェアのサプライチェーンに対する攻撃は、マルウェアの潜在的な流通経路を劇的に拡大させる可能性があります。例えば、脅威者はPython Package Index(PyPI)リポジトリにマルウェアを挿入することで、何千ものソフトウェア開発チームを公開し、そのソースコードを脅威にさらすことができます。

サイバー犯罪者は、悪用する脆弱性を見つけ、CI/CDパイプラインにマルウェアを埋め込み、最終的にあなたのインフラ基盤とアプリケーション全体を危険にさらすビルディングブロックにバックドアを作成する新しい方法を探しています。ソースコードと成果物の保護は、 Software 開発ライフサイクル(SDLC)の安全性を確保しようとするソフトウェア開発チームの間で、今日、最も重要な関心事となっています。

台頭するサードパーティリスク

サードパーティ製ソフトウェアに関連するリスクは、ITチームが軽減しようとしている主要な問題の1つである。このような危険は、市場投入までの時間を短縮するために、継続的インテグレーションと継続的デリバリー(CI/CD)においてサードパーティ製ソフトウェアへの依存が高まっていること、Software (OSS)や他のソフトウェアパブリッシャのような既存のコードに依存していること、検証プロセスが欠如していることに関連している。事実、世界中のIT組織の90%が、現在エンタープライズ・オープンソースを使用している。

アプリケーションは過去数十年にわたって進化してきた。レガシーなモノリシック・アプリケーションからマイクロサービス・アーキテクチャへと移行してきた。マイクロサービスの上に構築された最新のアプリケーションは、アプリケーション間の通信にAPIを使用している。さらに、さまざまなチームがサードパーティのライブラリやOSSを使用して、既存のコードを拡張したり、既存のコードに基づいて新しい機能を構築したりします。これらすべてが攻撃対象の拡大につながり、組織とその顧客のデータをリスクにさらすことになる。

現代のソフトウェア開発には CI/CD が含まれるため、SDLC にさらに多くのコンポーネントが追加されることになり、より多くのデータが危険にさらされることになります。例えば、アプリケーションがコンテナ、クラウドプラットフォーム、または、Kubernetes クラスタで実行される場合など、より複雑なシナリオでは、より多くのセキュリティ問題が表面化するかもしれません。

このようなアプリケーションの複雑さと多層的な性質に伴い、セキュリティーを確保する必要のあるコンポーネントが大量に発生する。さらに悪いことに、セキュリティの問題が発生すればするほど、セキュリティチームや専門家がアプリケーションデリバリプロセスでボトルネックに遭遇し、CI/CDパイプラインを遅らせる可能性が高くなる。

DevOps の左遷:SDLC の早い段階でセキュリティを適用する

プロテクト・シクド・パイプライン・ウィズ・デヴォップス・シフト・レフト
図:ソフトウェア開発ライフサイクルの早い段階でセキュリティを適用し、リスクを軽減する

では、チームは SDLC 全体を通して、どのようにサードパーティのリスクを管理し、軽減するのでしょうか?その答えは、DevSecOps のワークフローの早い段階でセキュリティを組み込むことです。DevSecOps のアプローチによって、チームはSDLC や CI/CD パイプラインの最も初期のフェーズにセキュリティを組み込むことができる。セキュリティは、サイバーセキュリティチームの肩に責任を負わせるのではなく、エンドツーエンドで組み込まれる。適切なセキュリティオーバーレイと、ソフトウェア開発プロセス全体を通じて是正措置のためのギャップにフラグを立てる監査ツールを持つことは、組織全体の説明責任である。

言い換えれば、DevSecOpsは、自動化、リリース・サイクルの高速化、フィードバック・サイクルの短縮、セキュリティ・ホールの早期予防を可能にする。

Secure TeamCityとJenkinsのためのMetaDefender プラグインを使ったCI/CDパイプライン

TeamCityとJenkinsは、CI/CDパイプラインでよく使われる2つのビルド自動化ツールだ。

MetaDefender の高度なサイバーセキュリティ防止および検出テクノロジを搭載し、OPSWATの TeamCity および Jenkins 用MetaDefender プラグインは、30 以上の主要なアンチウィルスエンジンを使用して、チームのビルド成果物を保護します。

MetaDefender TeamCity用プラグイン

MetaDefender は、アプリケーションを公開する前に、 TeamCity ビルドのマルウェアをチェックし、アンチウイルス警告を検証して誤検出を最小限に抑えます。可能性のある脅威を検出するだけでなく、アンチウイルスエンジンがソフトウェアやアプリケーションを悪意のあるものとして誤ってフラグを立て、評判を損なう可能性がある場合に警告を出すために、ビルドをすばやくスキャンできます。さらに詳しく

metadefender-チームシティ用プラグイン
OPSWAT TeamCityプラグイン用ポータル

MetaDefender Jenkins用プラグイン

MetaDefender for Jenkinsは、リリース前にJenkinsビルドのマルウェアと機密情報をスキャンします。ソースコードと成果物は、脅威がないか徹底的にチェックされます。また、組み込みの自動フェイルセーフ機能により、潜在的な問題をアラートで通知し、マルウェアの発生や機密データの漏えいを防止します。さらに詳しく

metadefender-ジェンキンス用プラグイン
OPSWAT Jenkinsプラグイン用ポータル


OPSWAT から、その他の無料サイバーセキュリティ・ツールをご覧ください。 詳しくは、重要インフラのサイバーセキュリティ専門家にご相談ください。

タグ

最新の投稿

OPSWAT ニュースレター

OPSWAT 最新情報を、イベント情報とともにお届けします。 業界を牽引するニュースをお届けします。
サインアップする

ソーシャルメディアでフォローする

LinkedIn、Facebook、Twitter、YouTubeでOPSWAT !

OPSWATで最新情報をお届けします!

今すぐご登録ください、 ストーリー、イベント情報などをお届けします。
購読する