JFrog、オープンソースソフトウェアの脆弱性の根絶に向け、Rust Foundationと協業を発表
[22/09/21]
提供元:PRTIMES
提供元:PRTIMES
JFrogセキュリティリサーチチームは、セキュリティに関する専門知識、脆弱性データ、新たな脅威の継続的な調査により、「開発者に最も好まれる言語」の更なる堅牢化を支援します。
東京発(2022年9月20日)- 水が流れるようにソフトウェアを継続的にアップデートするLiquid Software(リキッド・ソフトウェア)というビジョンを掲げ、それに基づくJFrog DevOps Platformを提供するJFrog Japan株式会社(本社:東京、ジャパン・ジェネラル・マネージャー:ビッキー・チャン)の親会社である、JFrog Ltd.(以下JFrog)(NASDAQ:FROG)は本日、プログラミング言語「Rust」を管理する独立非営利団体「Rust Foundation」と共に、Rustのプラットフォームとエコシステムに対するセキュリティ脅威の特定と排除を目的とした新たな取り組みを開始したことを発表しました。JFrogセキュリティリサーチチームは、既知のソフトウェア脆弱性、継続的な脅威の調査および発見されたRustプラットフォームの問題を積極的に修正し、将来のリスクを防止するための開発者専用リソースに関する情報へのアクセスの提供を開始します。
JFrogのデベロッパー・リレーションズのバイス・プレジデントであるStephen Chin(スティーブン・チン)は次のように述べています。「ソフトウェアサプライチェーンのセキュリティの確保は、1回のみの取り組みでは達成できません。継続的な取り組みとマルチレイヤーによるアプローチが必要であり、メモリーセーフな言語がその計画に大きな役割を果たすと信じています。Rust Foundationと協力することで、この礎石と位置づけされるプログラミング言語が、最新の安全なソフトウェアの開発において推奨されるベストプラクティスであり続けることを確実にすることができます」
ソフトウェア脆弱性の根本原因を除去
[画像: https://prtimes.jp/i/54676/30/resize/d54676-30-c8fbf9536d0041c24604-0.png ]
Googleの調査(注1)によると、10年以上前から、共通脆弱性識別子(CVE)と指定されているセキュリティ脆弱性とメモリーの安全性問題はほぼ同じ割合を占めています。プログラミング言語Rustは、SlashDataが「過去2年間で利用する開発者が3倍の220万人に増加した」と報じている通り、メモリーセーフと高性能の両方を実現するためにゼロから設計されています。つまり、この言語はユーザーに許可されていないメモリーへのアクセスを許さず、言語を危険にさらす可能性のある悪意のあるコードを無意識に使用する確率を著しく減少させます。
このため、Rustは、Open Source Software Security Foundation(OpenSSF)から「重要なオープンソースソフトウェアプロジェクト」として認定され、OpenSSFの「Alpha-Omega Project」による支援を受け、新しい脆弱性やまだ発見されていない脆弱性を特定してRustのセキュリティ体制を改善するために役立てられています。Rust固有の安定性と性能、そしてJFrogの高度なセキュリティツール、リサーチ、専門知識は、Rust言語を長期にわたって保護するのに役立ちます。
Rust FoundationのエグゼクティブディレクターであるBec Rumbul(ベック・ランブル)は次のように述べています。「開発者がより安心してコーディングできるように、Rustのセキュリティと設計方針の改善でJFrogからの積極的な協力を得られたことをうれしく思います。この投資により、Rustの安全性、セキュリティ、そして持続可能性が維持され、新しいユースケースをもたらし、より幅広く業界に採用されていくだろうと信じています」
JFrogとそのセキュリティリサーチチームは、Microsoft、Huawei、Google、AWS、Mozillaなど、Rust Foundationの理事を務めるテクノロジー企業に最近加わった企業です。Rustの一員となることは、Pyrsia(ピルシア)、Frogbot(フロッグボット)、OpenSSFの理事など、オープンソースのセキュリティに関するJFrogの様々な取り組みがさらに増えることを意味します。ソフトウェアのサプライチェーンを保護するためのJFrogの献身とコミュニティへの貢献については、このブログ、またはhttps://jfrog.com/community/(英語)をご覧ください。
【注釈】
(注1)2020年にGoogleにより実施された、重大なセキュリティバグの70%超がメモリの安全性の問題であることを明らかにした調査。https://www.chromium.org/Home/chromium-security/memory-safety/
関連資料:
• プレスリリース - JFrog、オープンソースソフトウェアの脆弱性の根絶に向け、Rust Foundationと協業を発表
https://jfrog.com/ja/press/jfrog-collaborates-with-the-rust-foundation-to-root-out-open-source-software-vulnerabilities/
• プレスリリース - JFROG、オープンソースソフトウェア用セキュリティの新時代を切り拓くソフトウェアサプライチェーンへの攻撃防止を支援する「PROJECT PYRSIA」の立ち上げを発表
https://jfrog.com/ja/press/jfrog-ushers-in-new-era-of-open-source-software-security-launching-project-pyrsia/
• ブログ - Secure your git repository with Frogbot the git bot(英語)
https://jfrog.com/blog/ja/secure-your-git-repository-with-frogbot-the-git-bot/
• ブログ - Foundations and JFrog – Meeting Developers at the Source (英語)
https://jfrog.com/ja/blog/foundations-and-jfrog-meeting-developers-at-the-source
###
JFrog Japan株式会社について
JFrog Japan株式会社はJFrog Ltd.(JFrog)の日本法人として2018年に設立。JFrogは、開発者のキーストロークから製品まで、ソフトウェアの流れをシームレスかつ安全に実現する「Liquid Software」というビジョンを掲げ、世界中のソフトウェアアップデートを強化するミッションに取り組んでいます。JFrogのDevOpsプラットフォームにより、ソフトウェア開発組織はバイナリのライフサイクル全体を通じてソフトウェアのサプライチェーンを包括的に強化し、ソースを構築、保護、配信し、あらゆる本番環境と接続することができます。JFrogのハイブリッドでユニバーサルなマルチクラウドDevOpsプラットフォームは、AWS、Microsoft Azure、Google Cloud上で、オープンソース、自己管理型、SaaSサービスとして利用できます。Fortune 100企業を含む多くの企業とユーザーが、JFrogのソリューションを活用しデジタルトランスフォーメーションを安全かつ円滑に推進させています。詳細はhttps://jfrog.com/ja/をご覧ください。Twitterのフォローはこちらから:@jfrog_jp
• JFrogの名称、ロゴマークおよびすべてのJFrog製品の名称は、JFrog Ltd.の登録商標または商標です。
• その他、このプレスリリースに記載されている会社名および製品・サービス名は、各社の登録商標または商標です。
Cautionary Note About Forward-Looking Statements(将来の見通しと注意事項 – 以下英文)
This press release contains “forward-looking” statements, as that term is defined under the U.S. federal securities laws. These forward-looking statements are based on our current assumptions, expectations and beliefs and are subject to substantial risks, uncertainties, assumptions, and changes in circumstances that may cause JFrog’s actual results, performance or achievements to differ materially from those expressed or implied in any forward-looking statement.
There are a significant number of factors that could cause actual results, performance or achievements, to differ materially from statements made in this press release, including but not limited to risks detailed in our filings with the Securities and Exchange Commission, including in our annual report on Form 10-K for the year ended December 31, 2021, our quarterly reports on Form 10-Q, and other filings and reports that we may file from time to time with the Securities and Exchange Commission. Forward-looking statements represent our beliefs and assumptions only as of the date of this press release. We disclaim any obligation to update forward-looking statements.
東京発(2022年9月20日)- 水が流れるようにソフトウェアを継続的にアップデートするLiquid Software(リキッド・ソフトウェア)というビジョンを掲げ、それに基づくJFrog DevOps Platformを提供するJFrog Japan株式会社(本社:東京、ジャパン・ジェネラル・マネージャー:ビッキー・チャン)の親会社である、JFrog Ltd.(以下JFrog)(NASDAQ:FROG)は本日、プログラミング言語「Rust」を管理する独立非営利団体「Rust Foundation」と共に、Rustのプラットフォームとエコシステムに対するセキュリティ脅威の特定と排除を目的とした新たな取り組みを開始したことを発表しました。JFrogセキュリティリサーチチームは、既知のソフトウェア脆弱性、継続的な脅威の調査および発見されたRustプラットフォームの問題を積極的に修正し、将来のリスクを防止するための開発者専用リソースに関する情報へのアクセスの提供を開始します。
JFrogのデベロッパー・リレーションズのバイス・プレジデントであるStephen Chin(スティーブン・チン)は次のように述べています。「ソフトウェアサプライチェーンのセキュリティの確保は、1回のみの取り組みでは達成できません。継続的な取り組みとマルチレイヤーによるアプローチが必要であり、メモリーセーフな言語がその計画に大きな役割を果たすと信じています。Rust Foundationと協力することで、この礎石と位置づけされるプログラミング言語が、最新の安全なソフトウェアの開発において推奨されるベストプラクティスであり続けることを確実にすることができます」
ソフトウェア脆弱性の根本原因を除去
[画像: https://prtimes.jp/i/54676/30/resize/d54676-30-c8fbf9536d0041c24604-0.png ]
Googleの調査(注1)によると、10年以上前から、共通脆弱性識別子(CVE)と指定されているセキュリティ脆弱性とメモリーの安全性問題はほぼ同じ割合を占めています。プログラミング言語Rustは、SlashDataが「過去2年間で利用する開発者が3倍の220万人に増加した」と報じている通り、メモリーセーフと高性能の両方を実現するためにゼロから設計されています。つまり、この言語はユーザーに許可されていないメモリーへのアクセスを許さず、言語を危険にさらす可能性のある悪意のあるコードを無意識に使用する確率を著しく減少させます。
このため、Rustは、Open Source Software Security Foundation(OpenSSF)から「重要なオープンソースソフトウェアプロジェクト」として認定され、OpenSSFの「Alpha-Omega Project」による支援を受け、新しい脆弱性やまだ発見されていない脆弱性を特定してRustのセキュリティ体制を改善するために役立てられています。Rust固有の安定性と性能、そしてJFrogの高度なセキュリティツール、リサーチ、専門知識は、Rust言語を長期にわたって保護するのに役立ちます。
Rust FoundationのエグゼクティブディレクターであるBec Rumbul(ベック・ランブル)は次のように述べています。「開発者がより安心してコーディングできるように、Rustのセキュリティと設計方針の改善でJFrogからの積極的な協力を得られたことをうれしく思います。この投資により、Rustの安全性、セキュリティ、そして持続可能性が維持され、新しいユースケースをもたらし、より幅広く業界に採用されていくだろうと信じています」
JFrogとそのセキュリティリサーチチームは、Microsoft、Huawei、Google、AWS、Mozillaなど、Rust Foundationの理事を務めるテクノロジー企業に最近加わった企業です。Rustの一員となることは、Pyrsia(ピルシア)、Frogbot(フロッグボット)、OpenSSFの理事など、オープンソースのセキュリティに関するJFrogの様々な取り組みがさらに増えることを意味します。ソフトウェアのサプライチェーンを保護するためのJFrogの献身とコミュニティへの貢献については、このブログ、またはhttps://jfrog.com/community/(英語)をご覧ください。
【注釈】
(注1)2020年にGoogleにより実施された、重大なセキュリティバグの70%超がメモリの安全性の問題であることを明らかにした調査。https://www.chromium.org/Home/chromium-security/memory-safety/
関連資料:
• プレスリリース - JFrog、オープンソースソフトウェアの脆弱性の根絶に向け、Rust Foundationと協業を発表
https://jfrog.com/ja/press/jfrog-collaborates-with-the-rust-foundation-to-root-out-open-source-software-vulnerabilities/
• プレスリリース - JFROG、オープンソースソフトウェア用セキュリティの新時代を切り拓くソフトウェアサプライチェーンへの攻撃防止を支援する「PROJECT PYRSIA」の立ち上げを発表
https://jfrog.com/ja/press/jfrog-ushers-in-new-era-of-open-source-software-security-launching-project-pyrsia/
• ブログ - Secure your git repository with Frogbot the git bot(英語)
https://jfrog.com/blog/ja/secure-your-git-repository-with-frogbot-the-git-bot/
• ブログ - Foundations and JFrog – Meeting Developers at the Source (英語)
https://jfrog.com/ja/blog/foundations-and-jfrog-meeting-developers-at-the-source
###
JFrog Japan株式会社について
JFrog Japan株式会社はJFrog Ltd.(JFrog)の日本法人として2018年に設立。JFrogは、開発者のキーストロークから製品まで、ソフトウェアの流れをシームレスかつ安全に実現する「Liquid Software」というビジョンを掲げ、世界中のソフトウェアアップデートを強化するミッションに取り組んでいます。JFrogのDevOpsプラットフォームにより、ソフトウェア開発組織はバイナリのライフサイクル全体を通じてソフトウェアのサプライチェーンを包括的に強化し、ソースを構築、保護、配信し、あらゆる本番環境と接続することができます。JFrogのハイブリッドでユニバーサルなマルチクラウドDevOpsプラットフォームは、AWS、Microsoft Azure、Google Cloud上で、オープンソース、自己管理型、SaaSサービスとして利用できます。Fortune 100企業を含む多くの企業とユーザーが、JFrogのソリューションを活用しデジタルトランスフォーメーションを安全かつ円滑に推進させています。詳細はhttps://jfrog.com/ja/をご覧ください。Twitterのフォローはこちらから:@jfrog_jp
• JFrogの名称、ロゴマークおよびすべてのJFrog製品の名称は、JFrog Ltd.の登録商標または商標です。
• その他、このプレスリリースに記載されている会社名および製品・サービス名は、各社の登録商標または商標です。
Cautionary Note About Forward-Looking Statements(将来の見通しと注意事項 – 以下英文)
This press release contains “forward-looking” statements, as that term is defined under the U.S. federal securities laws. These forward-looking statements are based on our current assumptions, expectations and beliefs and are subject to substantial risks, uncertainties, assumptions, and changes in circumstances that may cause JFrog’s actual results, performance or achievements to differ materially from those expressed or implied in any forward-looking statement.
There are a significant number of factors that could cause actual results, performance or achievements, to differ materially from statements made in this press release, including but not limited to risks detailed in our filings with the Securities and Exchange Commission, including in our annual report on Form 10-K for the year ended December 31, 2021, our quarterly reports on Form 10-Q, and other filings and reports that we may file from time to time with the Securities and Exchange Commission. Forward-looking statements represent our beliefs and assumptions only as of the date of this press release. We disclaim any obligation to update forward-looking statements.