MetaDefender Software Supply Chainは、AppSecチームとDevSecOpsチームがサプライチェーン攻撃からアプリケーションを保護するための経験と効率を強化し続けています。このv2.5.0リリースでは、簡素化された脆弱性管理とSBOMの標準化に焦点を当てた一連の機能を紹介します。これらの新機能により、コンテナ、バイナリ、ソースコードにまたがるセキュリティ管理が、スピードと規模に応じて容易になります。
リポジトリとパッケージのレポート用UIの強化
脆弱性管理を最適化し、リポジトリやパッケージレベルで問題を迅速にトリアージする。
CVE検索
既知の脆弱性の影響を受けるコンポーネントを特定する。
GitLabとJFrogバイナリのWebhookベースのスキャン
GitLabとJFrogバイナリのWebhookベースのスキャン
JFrogアーティファクトリーのレメディエーション拡充
バイナリの成果物をコピー、移動、削除することで、脆弱性に迅速に対処し、リスク露出を最小限に抑えます。
CycloneDX SBOMエクスポート
コンプライアンスと標準化のためのレポート作成
リポジトリとパッケージのレポートVulnerability Management最適化
洗練されたインターフェースにより、プロジェクト内のリポジトリやパッケージ内の脅威データを柔軟に閲覧・分析することができます。
Reports "タブは、2つの異なる表示モード(Repository-levelと Package-level)を提供し、高レベルの可視性と詳細なコンポーネントレベルの洞察の両方をサポートします。Software 開発チームは、リポジトリ内で検出されたすべてのパッケージに関する洞察を得ることができ、さらに詳細な調査のために特定のパッケージを簡単にドリルダウンすることができます。
リポジトリレベルのビュー
このビューは、スキャンされたリポジトリの概要を提供する:
- 脆弱性、マルウェア、秘密の検出
- 総パッケージ数と脆弱性パッケージ数の比較
- ライセンス・リスクの状況
各リポジトリをクリックすると、詳細なSBOMとスキャン結果を見ることができる。
パッケージ・レベル・ビュー
このビューでは、プロジェクトで使用されているソフトウェア・パッケージに焦点を当てて表示します:
- パッケージ名
- 脆弱性を含む関連リポジトリ
- 脆弱性ステータス
- ライセンスのリスク分類
- リスクの重大度レベル
フィルターオプション
また、スキャン結果をフィルタリングすることもできる:
- セキュリティリスクの重大度(重要、高、中、低、不明)
- ライセンスステータス(許可、ブロック)
- アクティブな接続(リポジトリ、Container、バイナリ)
これらの2つの視点は、AppSec、DevSecOps、エンジニアリングチーム間の異なる役割とワークフローをサポートし、より実用的なリスクの優先順位付けと、セキュリティとエンジニアリング間の緊密なコラボレーションを可能にする。
CVE検索:既知の脆弱性を即座に特定
新しいCVEが公開されると、チームはそれを直接検索して、環境内のコンポーネントが影響を受けるかどうかを判断できるため、これらの脅威に最小限の遅れで対応することができます。継続的に更新される脆弱性データベースに支えられたこの機能により、CVE参照を特定のパッケージやビルド成果物に手作業で関連付けることなく、ターゲットを絞ったトリアージが可能になります。
何百ものスキャン対象コンポーネントを持つ大規模で複雑なプロジェクトを管理するチームにとって、このアップデートはインシデント対応ワークフローと脆弱性開示プロセスを強化する可能性がある。
JFrogバイナリに対する救済措置の強化
v2.5.0では、MetaDefender Software Supply Chain JFrog Artifactoryとの統合をさらに深め、改善機能を強化しました:
コピー修復
検証済みのバイナリパッケージをアーティファクトリポジトリ間で安全に転送したり、疑わしいパッケージを隔離リポジトリに隔離したりできます。
ハード削除の修復
漏洩したバイナリを永久に削除するルールを定義することで、リポジトリをクリーンに保ち、アーティファクト関連のリスク・エクスポージャーを最小限に抑えます。
CI/CDパイプラインで成果物を管理する場合、最初は "未検証 "のステージングリポジトリに保存された成果物は、MetaDefender Software Supply Chain スキャンされ、検証されると "安全 "なリポジトリに移動されます。これにより、デプロイ前に成果物が安全でコンプライアンスに適合していることを確認することができます。このプロセスを自動化することで、チームはパイプライン全体で成果物の衛生、トレーサビリティ、制御されたアクセスを維持しながら、手動ステップを排除することができます。
広く使われているバイナリリポジトリマネージャとして、JFrog Artifactoryは多くのCI/CDパイプラインで中心的な役割を果たしています。DevSecOpsチームにとって、検証済みでポリシーに準拠したバイナリだけが下流のステージに昇格されるようにすることは、アーティファクトガバナンスポリシーをサポートし、ビルドの証明性を強化し、アーティファクトレベルのサプライチェーンの脅威のリスクを低減するのに役立ちます。
GitLabとJFrog ArtifactoryのWebhooksでセキュリティチェックを自動化する
MetaDefender Software Supply Chain 、主要な開発イベントに応じてセキュリティスキャンを自動化するWebhookベースのトリガーをサポートするようになりました。これにより、JFrog Artifactoryや GitLabで特定のイベントが発生したときにセキュリティスキャンを自動的に開始することができます。
- コードのコミットまたはプルリクエストの直後にスキャンをトリガーします。
- プッシュまたはメインブランチへのマージ時にソースコードをスキャンする。
主な特徴
- ワークフロー固有のURL:GitLabやJFrog Artifactoryで簡単に設定できるように、接続された各リポジトリに固有のWebhook URLを生成します。
- イベントベースのトリガー:プッシュイベントやプルリクエストの作成時に自動的にスキャンを開始し、開発サイクル全体を通して継続的な検証を保証します。
- 在庫の一元管理:スキャナーのインベントリ画面から直接、アクティブなウェブフックを管理・監視し、コントロールと可視性を実現します。
メリット
- 新しいコンポーネントの継続的な検証をCI/CDワークフローに組み込む。
- リスクに対するリアルタイムの可視性 - 新規または更新されたコンポーネントは、プロジェクトに導入または変更されるとすぐに評価されます。
- 手作業と運用のオーバーヘッドを削減します。
- 動きの速いソフトウェアデプロイメントのためのスケーラブルなSDLC セキュリティ。
MetaDefender Supply Chain
MetaDefender Software Supply Chain 、オープンソースのサードパーティコンポーネントを含むすべてのソフトウェアライブラリをスキャンし、セキュリティの脅威や脆弱性を特定することで、DevSecOpsのパイプラインを強化します。MetaDefenderの検出と防止技術により、SDLCはマルウェアや脆弱性から保護され、アプリケーションのセキュリティとコンプライアンスの遵守を強化します。
CycloneDXフォーマットへのSBOMエクスポート
コンプライアンス要件を満たし、エコシステムの統合を可能にするために、開発チームとセキュリティチームはSBOM(Software 部品表)をCycloneDX形式でエクスポートできます。
という努力を支えている:
- 標準化されたフォーマットによるSBOM生成の簡素化。
- 規制当局または第三者利害関係者へのSBOMの提出を可能にする。
- ツール、エコシステム、サプライチェーンパートナー間の互換性を確保する。
- オーバーヘッドを追加することなく、進化するソフトウェア・サプライチェーンのセキュリティ標準に対応。
まだまだ続く
セキュリティチームとDevSecOpsチームが安全なソフトウェアを大規模に出荷するために必要な自動化、可視化、制御を提供するために、MetaDefender Software Supply Chain機能を拡張し続けています。これらの新機能の詳細については、当社のサイバーセキュリティエキスパートにお問い合わせください。
リリース詳細
- 製品MetaDefender Software Supply Chain
- 発売日:164月2025
- リリースノート2.5.0
- OPSWAT ポータルからダウンロード
詳細については、サイバーセキュリティの専門家にご相談ください。
