シノプシス ソフトウェア・インテグリティ・グループはブラック・ダックになりました 詳細はこちら

セキュアSDLCを拡張してオープンソース・セキュリティの問題を修正

課題:見つけらない脆弱性にはパッチを適用できない

ソフトウェア構築事業に携わる組織の例にもれず、JDA社の100以上のアプリケーション製品群にもカスタム構築されたコードベースと商用およびオープンソース・コンポーネントが混在しています。ForresterやGartnerなどのアナリストは、IT組織の90%以上がミッション・クリティカルな開発でオープンソース・ソフトウェアを使用しており、オープンソース・コンポーネントが最大90%を占めるアプリケーションも珍しくないと指摘しています。

オープンソースの脆弱性は、独自開発のソフトウェアに比べると少なめですが、2018年だけでも7,000件以上発見されました。また、過去20年間で50,000件以上の脆弱性が新たに発生しました。2018年にシノプシスのBlack Duck監査サービス・チームがレビューしたコードベースのうち60%に1つ以上のオープンソース脆弱性が存在し、40%以上に高リスクの脆弱性があり、68%にライセンスが競合するコンポーネントが含まれていました。

ライセンス・コンプライアンスの観点から見ると、広く利用されているオープンソース・ライセンスであろうと、1回限りの亜種であろうと、組織が特定のオープンソース・コンポーネントを使用する権利、義務、制限を認識していなければ、ライセンス義務を遵守しているかどうかを確認できません。遵守していない場合、独自開発のコードに対する権利を失ったり、知的財産の所有権が疑問視される可能性さえあります。

セキュリティの観点からすると、独自開発のソフトウェアやオープンソース・ソフトウェアを含め、すべてのソフトウェアはセキュリティの脆弱性につながる弱点を持っています。Apache StrutsやOpenSSLの不名誉な脆弱性の例を見てもわかるように、オープンソースにわずかでも脆弱性があれば、広く悪用される可能性があります。このようなエクスプロイトが発生すると、2017年のEquifaxのデータ・セキュリティ侵害のように、オープンソースのセキュリティ管理の必要性がトップニュースになります。

米国上院常設調査小委員会の報告書は、Equifaxのソフトウェア・インベントリの不備が大規模なセキュリティ侵害の主要因であると指摘しています。「EquifaxはIT資産の包括的なインベントリを作成しなかったため、所有するIT資産を完全に把握していなかった」と報告書は指摘しています。「これにより、Equifaxがネットワーク上に脆弱性が存在するかどうかを確認することは、不可能ではないにしても困難になった。見つからない脆弱性にパッチを適用することはできない。」

当社では、全体的なソフトウェア・セキュリティ対策の一環として、オープンソースおよび商用コンポーネントを確実に追跡・管理するためのソリューションを必要としていました。"

John Vrankovich

|

JDA Software

多くの企業では、開発者によるオープンソースの使用を正式に管理しておらず、オープンソース・コンポーネント、ライセンス、バージョン、パッチ適用状況の正確な最新のインベントリ(部品表またはBOMとも呼ばれる)を作成できる企業はごくわずかです。結果として、その組織と顧客にリスクをもたらします。「Black Duckを使用する前のオープンソース管理では、主にスプレッドシートを使用した開発者任せの管理体制で、基本ガイダンスは感染性(バイラル)ライセンスではなくパーミッシブ・ライセンスの使用を前提としていました」とJDA Softwareの主任アーキテクト、John Vrankovich氏は言います。

「当社には100以上の製品があり、各製品が数百から数千種類のオープンソース・コンポーネントを使用しています。10年前、私たちにはBOMのオープンソース・セキュリティの脆弱性を特定し、理解するという考え方はほとんどありませんでした。Black Duckに移行する目的は、オープンソースのセキュリティの問題に対する知識を得ることでした。全体的なソフトウェア・セキュリティ対策の一環としてオープンソースおよび商用コンポーネントを確実に追跡・管理するためのソリューションが必要だと認識したのです。

解決策:Black Duckソフトウェア・コンポジション解析

JDA社は2015年に初めてBlack Duck Code Centerを導入して以来、Code Centerでオープンソースおよびその他のサードパーティー製ソフトウェア・コンポーネントの選択、承認、追跡を行っています。目的は、アーキテクチャやセキュリティから、商用審査、すべてのJDA製品とリリースゲートウェイに関する経営幹部による最終審査に至るまでのJDAの技術審査委員会(TRC)の審査プロセスを自動化することでした。

JDA社は2017年にBlack Duckソフトウェア・コンポジション解析(旧Black Duck Hub)を導入しました。シノプシスのBlack Duck SCAは、アプリケーションやコンテナに含まれるオープン・ソースの使用によって生じるセキュリティ、ライセンス・コンプライアンス、コード品質のリスク管理を行う包括的なソリューションであり、ソフトウェア・サプライ・チェーン全体およびアプリケーション・ライフサイクル全体にわたってオープンソースの使用を管理することができます。Black Duckを使用することで、オープンソースの使用とセキュリティ・ポリシーを設定および適用し、DevOps統合によるポリシーの適用を自動化し、修正アクティビティの優先順位付けと追跡を行うことができます。

「当社のコア製品はすべてCode Centerを使用しています」とJDA社のサードパーティー製品コンプライアンス担当プロジェクト・マネージャー、Meghan Caudill氏は言います。「3年ほど前、新開発のSaaSネイティブ製品であるJDA Luminate製品ラインのCI/CDプロセスを構築する際に、Black Duck SCAを使い始めました。当社の目標は、2020年の初めまでにBlack Duck SCAに完全に移行することです。」

PDFをダウンロード

JDA Software Group, Inc | シノプシス

会社概要

年商10億ドルを超えるJDA Software社は、30年間にわたって世界有数のサプライ・チェーン・プロバイダーとしての地位を確立しています。JDA社は、需要の予測と形成を改善し、よりインテリジェントかつすばやい対応で顧客満足度とロイヤルティを向上させることで、企業の計画、実行、デリバリーの能力向上を可能にし、全世界で4,000社を超える顧客企業が、同社の比類のないエンドツーエンド・ソリューション・ポートフォリオを活用してサプライ・チェーンの短縮、実行の高速化、顧客への収益性の高いデリバリーを実現しています。