JFrog、バイナリとソースコードにおけるLog4jの利用状況を把握するためのOSSツールをリリース
[21/12/17]
提供元:PRTIMES
提供元:PRTIMES
オープンソースのツールにより、開発者によるLog4jの影響の迅速な特定を可能に修復作業に集中できることで解決までの時間を短縮
東京発(2021年12月17日) ― 水が流れるようにソフトウェアを継続的にアップデートするLiquid Software(リキッド・ソフトウェア)というビジョンを掲げ、それに基づくJFrog DevOps Platform を提供するJFrog Japan 株式会社(本社:東京都港区、ジャパン・ジェネラル・マネージャー:田中克典)の親会社である、JFrog Ltd.(以下JFrog)(NASDAQ: FROG)は、現地時間(カリフォルニア州サニーベール)12月16日に、ソースコードとバイナリにおいて、Apache Log4jの存在と利用を検出する開発者向けに特別設計された無料のスキャンツールをリリースしました。新しい4つのツールは、JavaとPythonで、GitHubからダウンロードできます。
[画像: https://prtimes.jp/i/54676/18/resize/d54676-18-bcb6e9367be778c7c6ab-0.png ]
新しいツールは、直接または間接的な依存関係のみならず、Log4j が独立したファイルではなくソフトウェアパッケージにバンドルされていて、検出が困難なケースでも特定できる特殊なスキャンを実行します。この新しいツールは、開発者の既存の環境に簡単に統合できるようにコマンドライン・ベースとなっており、オープン・コアであることから、ニーズの変化に応じて機能を進化させ続けることができます。
JFrogのセキュリティ事業のチーフ・テクノロジー・オフィサー(CTO)であるアサフ・カラス(Asaf Karas)は、次のように述べています。「Log4jはソフトウェアのサプライチェーン全体でコンポーネントとして幅広く活用されているため、この脆弱性を迅速に特定し修正することが難しく、エンタープライズ・ソフトウェア業界全体に甚大な影響を与えています。危機下において、バイナリとソースコードをスキャンするオープンソースツールは、コミュニティの協力と貢献を促すことで短期および長期的なセキュリティ問題をまとめて解決できます。そのようなツールを本日リリースできることをとても誇りに思います」
Check Point Software Technologies 社の調査によると、世界の企業の約半数がすでにLog4jの脆弱性の影響を受けており、その件数は日に日に増加しています。オーストリア、カナダ、ニュージーランド、英国、米国の政府関係者も、最近明らかになったこの脆弱性に警鐘を鳴らしており、企業やソフトウェア・プロバイダーに対して、早急な対応を推奨しています。
Log4jの脆弱性は、11月24日にAlibaba cloudのセキュリティチームにより発見され、Apacheに報告されたものです。MITREは、この脆弱性にCVE-2021-44228を割り当て、その後、セキュリティ研究者によってLog4Shellと呼ばれるようになりました。JFrogのセキュリティ・リサーチ・チームは、現在知られているLog4jの脆弱性を詳述し、その特定と対処方法に関するベストプラクティスをこのブログで概説しており、継続的に更新しています。
###
JFrog Japan株式会社について
JFrog Japan 株式会社は JFrog Ltd. (JFrog)の日本法人として 2018 年に設立。DevOps プラットフォームを開発した JFrog は、開発者のキーストロークから製品まで、ソフトウェアの流れをシームレスかつ安全に実現する「Liquid Software」というミッションを掲げています。エンドツーエンドでハイブリッドな JFrog Platform は、現代のソフトウェア開発組織が DevOps の力を完全に取り入れるために必要なツールと可視性を提供します。JFrog のユニバーサルなマルチクラウド DevOps プラットフォームは、AWS、Microsoft Azure、Google Cloud 上で、オープンソース、自己管理型、SaaS サービスとして利用できます。JFrogは何百万人ものユーザーと何千人もの顧客に信頼されています。その中には、ミッションクリティカルなソフトウェアデリバリーパイプラインを管理するために JFrog ソリューションをご活用いただいているフォーチュン100企業の大半が含まれています。詳細は jfrog.com/ja をご覧ください。
・JFrog の名称、ロゴマークおよびすべての JFrog 製品の名称は、JFrog Ltd. の登録商標または商標です。
・その他、このプレスリリースに記載されている会社名および製品・サービス名は、各社の登録商標または商標です。
Cautionary Note About Forward-Looking Statements (将来の見通しと注意事項 – 以下英文)
This press release contains “forward-looking” statements, as that term is defined under the U.S. federal securities laws, including but not limited to statements regarding open-source tools that allow developers to quickly determine exposure and focus remediation efforts to speed time to resolution, our ability to meet customer needs, and our ability to drive market standards. These forward-looking statements are based on our current assumptions, expectations and beliefs and are subject to substantial risks, uncertainties, assumptions and changes in circumstances that may cause JFrog’s actual results, performance or achievements to differ materially from those expressed or implied in any forward-looking statement.
There are a significant number of factors that could cause actual results, performance or achievements, to differ materially from statements made in this press release, including but not limited to risks detailed in our filings with the Securities and Exchange Commission, including in our annual report on Form 10-K for the year ended December 31, 2020, our quarterly reports on Form 10-Q, and other filings and reports that we may file from time to time with the Securities and Exchange Commission. Forward-looking statements represent our beliefs and assumptions only as of the date of this press release. We disclaim any obligation to update forward-looking statements.
東京発(2021年12月17日) ― 水が流れるようにソフトウェアを継続的にアップデートするLiquid Software(リキッド・ソフトウェア)というビジョンを掲げ、それに基づくJFrog DevOps Platform を提供するJFrog Japan 株式会社(本社:東京都港区、ジャパン・ジェネラル・マネージャー:田中克典)の親会社である、JFrog Ltd.(以下JFrog)(NASDAQ: FROG)は、現地時間(カリフォルニア州サニーベール)12月16日に、ソースコードとバイナリにおいて、Apache Log4jの存在と利用を検出する開発者向けに特別設計された無料のスキャンツールをリリースしました。新しい4つのツールは、JavaとPythonで、GitHubからダウンロードできます。
[画像: https://prtimes.jp/i/54676/18/resize/d54676-18-bcb6e9367be778c7c6ab-0.png ]
新しいツールは、直接または間接的な依存関係のみならず、Log4j が独立したファイルではなくソフトウェアパッケージにバンドルされていて、検出が困難なケースでも特定できる特殊なスキャンを実行します。この新しいツールは、開発者の既存の環境に簡単に統合できるようにコマンドライン・ベースとなっており、オープン・コアであることから、ニーズの変化に応じて機能を進化させ続けることができます。
JFrogのセキュリティ事業のチーフ・テクノロジー・オフィサー(CTO)であるアサフ・カラス(Asaf Karas)は、次のように述べています。「Log4jはソフトウェアのサプライチェーン全体でコンポーネントとして幅広く活用されているため、この脆弱性を迅速に特定し修正することが難しく、エンタープライズ・ソフトウェア業界全体に甚大な影響を与えています。危機下において、バイナリとソースコードをスキャンするオープンソースツールは、コミュニティの協力と貢献を促すことで短期および長期的なセキュリティ問題をまとめて解決できます。そのようなツールを本日リリースできることをとても誇りに思います」
Check Point Software Technologies 社の調査によると、世界の企業の約半数がすでにLog4jの脆弱性の影響を受けており、その件数は日に日に増加しています。オーストリア、カナダ、ニュージーランド、英国、米国の政府関係者も、最近明らかになったこの脆弱性に警鐘を鳴らしており、企業やソフトウェア・プロバイダーに対して、早急な対応を推奨しています。
Log4jの脆弱性は、11月24日にAlibaba cloudのセキュリティチームにより発見され、Apacheに報告されたものです。MITREは、この脆弱性にCVE-2021-44228を割り当て、その後、セキュリティ研究者によってLog4Shellと呼ばれるようになりました。JFrogのセキュリティ・リサーチ・チームは、現在知られているLog4jの脆弱性を詳述し、その特定と対処方法に関するベストプラクティスをこのブログで概説しており、継続的に更新しています。
###
JFrog Japan株式会社について
JFrog Japan 株式会社は JFrog Ltd. (JFrog)の日本法人として 2018 年に設立。DevOps プラットフォームを開発した JFrog は、開発者のキーストロークから製品まで、ソフトウェアの流れをシームレスかつ安全に実現する「Liquid Software」というミッションを掲げています。エンドツーエンドでハイブリッドな JFrog Platform は、現代のソフトウェア開発組織が DevOps の力を完全に取り入れるために必要なツールと可視性を提供します。JFrog のユニバーサルなマルチクラウド DevOps プラットフォームは、AWS、Microsoft Azure、Google Cloud 上で、オープンソース、自己管理型、SaaS サービスとして利用できます。JFrogは何百万人ものユーザーと何千人もの顧客に信頼されています。その中には、ミッションクリティカルなソフトウェアデリバリーパイプラインを管理するために JFrog ソリューションをご活用いただいているフォーチュン100企業の大半が含まれています。詳細は jfrog.com/ja をご覧ください。
・JFrog の名称、ロゴマークおよびすべての JFrog 製品の名称は、JFrog Ltd. の登録商標または商標です。
・その他、このプレスリリースに記載されている会社名および製品・サービス名は、各社の登録商標または商標です。
Cautionary Note About Forward-Looking Statements (将来の見通しと注意事項 – 以下英文)
This press release contains “forward-looking” statements, as that term is defined under the U.S. federal securities laws, including but not limited to statements regarding open-source tools that allow developers to quickly determine exposure and focus remediation efforts to speed time to resolution, our ability to meet customer needs, and our ability to drive market standards. These forward-looking statements are based on our current assumptions, expectations and beliefs and are subject to substantial risks, uncertainties, assumptions and changes in circumstances that may cause JFrog’s actual results, performance or achievements to differ materially from those expressed or implied in any forward-looking statement.
There are a significant number of factors that could cause actual results, performance or achievements, to differ materially from statements made in this press release, including but not limited to risks detailed in our filings with the Securities and Exchange Commission, including in our annual report on Form 10-K for the year ended December 31, 2020, our quarterly reports on Form 10-Q, and other filings and reports that we may file from time to time with the Securities and Exchange Commission. Forward-looking statements represent our beliefs and assumptions only as of the date of this press release. We disclaim any obligation to update forward-looking statements.