開発パイプラインが複雑化するにつれ、攻撃者はオープンソースエコシステムやCI/CD自動化を悪用し、検出が最も困難な場所に悪意のあるコードを注入し続けています。開発者の作業を遅らせることなく、ソフトウェア開発ライフサイクル(SDLC)のより深い段階に進む前に、あらゆるソフトウェアコンポーネントを検証する手段がチームには必要です。
組織がパイプライン防御を強化できるよう支援するため、OPSWAT MetaDefender Software Supply Chain OPSWAT 。この統合により、自動化された脅威検出、シークレット分析、依存関係リスクの可視化がTeamCityビルドプロセスに直接組み込まれ、すべてのビルドが安全性を確認するためにスキャンおよび検証されることが保証されます。
サードパーティおよびSupply Chain 加速している
現代の開発パイプラインは、サードパーティ製パッケージ、オープンソースエコシステム、API、分散型マイクロサービスに大きく依存している。この変化は驚異的なスピードと革新をもたらしたが、同時に従来のセキュリティツールが想定していなかった形で攻撃対象領域を拡大させた。
アプリケーションは、数千もの外部コンポーネント、コンテナイメージ、クラウドサービス、OSSライブラリから構成されています。実際、現在ほとんどの組織では、アプリケーションの90%以上にオープンソースの依存関係を使用しています。しかし、この依存関係には現実的なリスクが伴います:
- 検証されていないサードパーティ製パッケージはマルウェアを導入する可能性があります。
- 古くなった、あるいは脆弱なオープンソースソフトウェアは、静かに悪用される隙を生み出す可能性があります。
- 複雑な依存関係チェーンにより、本番環境で実際に何が実行されているのかを把握することが困難である。
- CI/CDの自動化は開発を加速させるが、監視を怠れば侵害の拡散も加速させる可能性がある。
動作のしくみ
数分でプラグインをTeamCityに統合:
操作と保守が簡単
TeamCityは以前のバージョンを自動的に置き換えます。管理インターフェースからいつでもプラグインをロールバックまたは削除できます。
マイクロサービスを数個管理する場合でも、リポジトリを数百管理する場合でも、MetaDefender Software Supply Chain は、ソフトウェアサプライチェーンの保護に向けたスケーラブルな基盤を提供します。
メリット
マルウェアの検出と防止
SDLCの初期段階でビルドをスキャンし、悪意のあるアーティファクトを検出します。npm、PyPI、Mavenなどのソースから取得した侵害されたパッケージが本番環境に導入される前に捕捉します。
秘密漏洩防止
パイプラインのさらに下流へ誤ってプッシュされる前に、API 、パスワード、トークン、その他の機密データを特定します。
依存関係とオープンソースのリスクに関する洞察
時代遅れ、未検証、またはリスクのある依存関係を強調表示します。これには、通常見落としがちな推移的依存関係も含まれます。
Software 透明性
各ビルドごとに標準化された形式(CycloneDX、SPDX)でSBOMレポートを生成し、チームがすべてのコンポーネントを可視化できるようにします。
セットアップやベストプラクティスについて質問がありますか?CI/CD環境に合わせたアドバイスを入手しましょう。
