JFrog、ソフトウェアサプライチェーン全体をコントロールする世界初のDevOps中心のセキュリティソリューションを発表
[22/10/26]
提供元:PRTIMES
提供元:PRTIMES
JFrog Advanced Securityは、ソフトウェアデリバリーフローの全社的な自動化と制御により、開発者、セキュリティ、運用チームを一つにします
東京発(2022年10月20日)- 水が流れるようにソフトウェアを継続的にアップデートするLiquid Software(リキッド・ソフトウェア)というビジョンを掲げ、それに基づくJFrog DevOps Platformを提供するJFrog Japan株式会社(本社:東京、ジャパン・ジェネラル・マネージャー:ビッキー・チャン)の親会社である、JFrog Ltd.(以下JFrog)(NASDAQ:FROG)はこの度、バイナリにフォーカスした世界初(注1)のDevSecOpsソリューションである「JFrog Advanced Security」を発表しました。この機能により、ソフトウェアデリバリーを、あらゆるソースからデスティネーションまで、包括的に保護します。JFrog ArtifactoryのバイナリリポジトリおよびJFrog Xrayのソフトウェア構成分析ツールとネイティブに統合されたJFrog Advanced Securityは、ソフトウェアサプライチェーンのセキュリティを大規模にカバーし、完全なプラットフォームエクスペンスをユーザーに提供します。
[画像: https://prtimes.jp/i/54676/31/resize/d54676-31-569e305629e334a72475-0.png ]
調査によると、サイバー犯罪による世界経済の損失は2021年に6兆ドル、2025年には10.5兆ドルに増加すると予想されています(注2)。近年のサイバーセキュリティへの攻撃における最大の脅威ベクトルはオープンソースコードであり、悪意のある攻撃者が重要な脆弱性、誤設定があるサービス、漏洩した機密など、企業のソフトウェアサプライチェーンにおける「弱いリンク」を利用しようとするためです。同時に開発者、セキュリティリーダー、運用チームは無数の異なるセキュリティのポイントソリューションを利用して、ソフトウェアエコシステムの不完全な現状を把握しています。JFrog Advanced Securityは単一の統合プラットフォームと直感的なUIにより、企業のソフトウェアサプライチェーンの可視性と制御を提供します。これにより、オーバーヘッドを劇的に削減し、開発、導入、ランタイムのプロセスを侵害する悪質なコードを迅速に特定することができます。
JFrogの共同創設者兼CEOであるShlomi Ben Haim(シロミ・ベン・ハイム)は次のように述べています。「ベンダーが提供するセキュリティと改善ソリューションは、ベンダーが所有し、保護し、分析するデータによって制限されます。JFrogは、お客様のソフトウェアサプライチェーンの中心で、企業のバイナリの単一情報源として機能します。これはJFrogが包括的かつ全体的なセキュリティソリューションを内側から提供することができるユニークな立場にあることを意味します。あらゆる開発者がターゲットとなる可能性があり、サプライチェーン全体を保護する唯一の方法はバイナリであるということがDevOpsチームの間で広く認知されている現在、このようなソリューションは必須といえます。当社のお客様はエンドツーエンドのカバレッジと制御を提供するよう求めており、当社のDevOpsプラットフォームの一部として、これまでで最も高度なセキュリティソリューションを発表できることを嬉しく、誇りに思います」
セキュリティチームはビジネスの安定性を確保するためにあらゆる手を講じ、一方で開発者は脆弱性の対応に丸一日費やすよりも、高品質なソフトウェアを作りたいと考えています。両者ともビジネスを強化するために尽力していても、2つのチーム間のコラボレーションやソフトウェアパッケージの依存関係の明確な把握は異なるシステム、様々な情報、冗長性または一貫性のないレポートによって妨げられる可能性があります。
JFrogのセキュリティ事業のチーフ・テクノロジー・オフィサー(CTO)であるアサフ・カラス(Asaf Karas)は次のように述べています。「今日のエンタープライズソフトウェアのセキュリティソリューションの多くはソースコードとそのソフトウェアが本番環境へのリリース前に発生することにしか焦点を当てていないため、不十分です。ソフトウェアのサプライチェーンを真に保護するためには開発中のコードと本番環境のコードの両方をバイナリレベルで考慮する必要があります。JFrog Advanced Securityは単一の統合されたDevOpsプラットフォームで開発環境から本番環境に渡る豊富なバイナリおよびソースコード分析機能を提供し、複雑さを解消し、セキュリティ検出、評価、修復の作業を合理化できます」
JFrog Advanced Securityは開発者、セキュリティ、運用チーム間の合理的な橋渡し役として、高度なスキルを持つセキュリティリサーチチームによって、重要な共通脆弱性識別子(CVE)の検出、評価、改善戦略を導くための単一の情報源となるように設計されています。
・漏洩の可能性がある機密情報の検出:JFrog Artifactoryに保存されているあらゆるコンテナから流出した、あるいは漏洩したままのパスワード、アクセストークン、秘密鍵などの「秘密情報」を発見し、企業を危険にさらすAPIキー、内部トークン、認証情報の不慮の流出を防止します。
・コンテナのコンテキスト分析:この業界初のテクノロジーは開発プロセスの早い段階で、エンタープライズアプリケーション内の悪意のあるパッケージの存在や脆弱なオープンソースコードの利用に関するコンテナのスキャン機能を提供します。また、コンテナコンテキスト解析は独自のコードのコンテキストにおいて、どのオープンソースの脆弱性が実際に悪用可能であるかを詳細に示すことができるため、開発者は該当しないインシデントを無視または優先順位を下げることで、改善作業に集中することができます。
・安全でないライブラリとサービスの利用:開発者は一般的なオープンソースソフトウェアのライブラリやサービスが安全に利用されており、適切に設定されていないことで、企業が攻撃を受けやすい状態にあるかを迅速に特定することができます。
・脆弱なInfrastructure-as-Code(IaC):JFrog Artifactoryのインスタンスに保存されたIaCファイルを検査し、クラウドインフラのデプロイメントが誤設定によって悪用されることがないよう確認できます。
・単一のスケーラブルなアーキテクチャ:JFrogプラットフォームはオンプレミス、クラウド、マルチクラウド、ハイブリッド展開のソフトウェアポートフォリオ全体を包括的に制御し、保護するJFrog Advanced Security機能により、強化された組織内のアーティファクトを提供し、あらゆるスケールで拡張します。
・Artifactoryとのネイティブな統合:JFrog ArtifactoryはJFrogプラットフォームの中核であり、ユニバーサルバイナリリポジトリとして機能し、企業がソフトウェアのサプライチェーン全体のアップデートフローを安全で大規模に制御・管理することができます。
IDCのDevOpsおよびDevSecOpsのリサーチディレクターであるジム・マーサー(Jim Mercer)は次のように述べています。「サイバー攻撃の量と精巧さが増大し続ける中、組織は常に脅威を監視し、部門横断的に解決に取り組むという課題を抱えていますが、一方で無数のまとまりのないポイントソリューションを使っているために修正のスピードが低下しています。企業はセキュリティをDevOpsのワークフローに統合し、開発、運用、セキュリティチームを橋渡しして、ソフトウェアのサプライチェーン全体で効率的に脅威を是正するためのプラットフォームアプローチをより必要としているのです」
関連資料:
・JFrog Advanced Securityの詳細(英語):
https://jfrog.com/advanced-security-launch
・JFrogブログ「DevOps-Centric Security is Finally Here | Announcing JFrog Advanced Security」(英語)
https://jfrog.com/blog/announcing-jfrog-advanced-security-for-devops
(注1)JFrogによる調査(2022年9月)ソフトウェアサプライチェーンセキュリティソリューションの比較
(注2)“Resilience Requires a Modern Path to Board-Level Cyber, Privacy and Data Risk Governance,” Nasdaq Center for Board Excellence ‘Risk & Cyber Oversight’ Insights Council, by Rajesh De, Chris Hetner, Steve Roycroft, and Dominique Shelton Leipzig, Oct. 2022.
###
JFrog Japan株式会社について
JFrog Japan株式会社はJFrog Ltd.(JFrog)の日本法人として2018年に設立。JFrogは、開発者のキーストロークから製品まで、ソフトウェアの流れをシームレスかつ安全に実現する「Liquid Software」というビジョンを掲げ、世界中のソフトウェアアップデートを強化するミッションに取り組んでいます。JFrogのDevOpsプラットフォームにより、ソフトウェア開発組織はバイナリのライフサイクル全体を通じてソフトウェアのサプライチェーンを包括的に強化し、ソースを構築、保護、配信し、あらゆる本番環境と接続することができます。JFrogのハイブリッドでユニバーサルなマルチクラウドDevOpsプラットフォームは、AWS、Microsoft Azure、Google Cloud上で、オープンソース、自己管理型、SaaSサービスとして利用できます。Fortune 100企業を含む多くの企業とユーザーが、JFrogのソリューションを活用しデジタルトランスフォーメーションを安全かつ円滑に推進させています。詳細はhttps://jfrog.com/ja/をご覧ください。Twitterのフォローはこちらから:@jfrog_jp
・JFrogの名称、ロゴマークおよびすべてのJFrog製品の名称は、JFrog Ltd.の登録商標または商標です。
・その他、このプレスリリースに記載されている会社名および製品・サービス名は、各社の登録商標または商標です。
Cautionary Note About Forward-Looking Statements(将来の見通しと注意事項 – 以下英文)
This press release contains “forward-looking” statements, as that term is defined under the U.S. federal securities laws, including but not limited to statements regarding JFrog’s Advanced Security technology, statements made by JFrog’s Executives, and the ability of Advanced Security to help resolve cybersecurity threats, reduce overhead, identify malicious code, eliminate complexity and streamline security detection, assessment and remediation efforts.
These forward-looking statements are based on our current assumptions, expectations and beliefs and are subject to substantial risks, uncertainties, assumptions and changes in circumstances that may cause JFrog’s actual results, performance or achievements to differ materially from those expressed or implied in any forward-looking statement. There are a significant number of factors that could cause actual results, performance or achievements, to differ materially from statements made in this press release, including but not limited to risks detailed in our filings with the Securities and Exchange Commission, including in our annual report on Form 10-K for the year ended December 31, 2021, our quarterly reports on Form 10-Q, and other filings and reports that we may file from time to time with the Securities and Exchange Commission. Forward-looking statements represent our beliefs and assumptions only as of the date of this press release. We disclaim any obligation to update forward-looking statements.
東京発(2022年10月20日)- 水が流れるようにソフトウェアを継続的にアップデートするLiquid Software(リキッド・ソフトウェア)というビジョンを掲げ、それに基づくJFrog DevOps Platformを提供するJFrog Japan株式会社(本社:東京、ジャパン・ジェネラル・マネージャー:ビッキー・チャン)の親会社である、JFrog Ltd.(以下JFrog)(NASDAQ:FROG)はこの度、バイナリにフォーカスした世界初(注1)のDevSecOpsソリューションである「JFrog Advanced Security」を発表しました。この機能により、ソフトウェアデリバリーを、あらゆるソースからデスティネーションまで、包括的に保護します。JFrog ArtifactoryのバイナリリポジトリおよびJFrog Xrayのソフトウェア構成分析ツールとネイティブに統合されたJFrog Advanced Securityは、ソフトウェアサプライチェーンのセキュリティを大規模にカバーし、完全なプラットフォームエクスペンスをユーザーに提供します。
[画像: https://prtimes.jp/i/54676/31/resize/d54676-31-569e305629e334a72475-0.png ]
調査によると、サイバー犯罪による世界経済の損失は2021年に6兆ドル、2025年には10.5兆ドルに増加すると予想されています(注2)。近年のサイバーセキュリティへの攻撃における最大の脅威ベクトルはオープンソースコードであり、悪意のある攻撃者が重要な脆弱性、誤設定があるサービス、漏洩した機密など、企業のソフトウェアサプライチェーンにおける「弱いリンク」を利用しようとするためです。同時に開発者、セキュリティリーダー、運用チームは無数の異なるセキュリティのポイントソリューションを利用して、ソフトウェアエコシステムの不完全な現状を把握しています。JFrog Advanced Securityは単一の統合プラットフォームと直感的なUIにより、企業のソフトウェアサプライチェーンの可視性と制御を提供します。これにより、オーバーヘッドを劇的に削減し、開発、導入、ランタイムのプロセスを侵害する悪質なコードを迅速に特定することができます。
JFrogの共同創設者兼CEOであるShlomi Ben Haim(シロミ・ベン・ハイム)は次のように述べています。「ベンダーが提供するセキュリティと改善ソリューションは、ベンダーが所有し、保護し、分析するデータによって制限されます。JFrogは、お客様のソフトウェアサプライチェーンの中心で、企業のバイナリの単一情報源として機能します。これはJFrogが包括的かつ全体的なセキュリティソリューションを内側から提供することができるユニークな立場にあることを意味します。あらゆる開発者がターゲットとなる可能性があり、サプライチェーン全体を保護する唯一の方法はバイナリであるということがDevOpsチームの間で広く認知されている現在、このようなソリューションは必須といえます。当社のお客様はエンドツーエンドのカバレッジと制御を提供するよう求めており、当社のDevOpsプラットフォームの一部として、これまでで最も高度なセキュリティソリューションを発表できることを嬉しく、誇りに思います」
セキュリティチームはビジネスの安定性を確保するためにあらゆる手を講じ、一方で開発者は脆弱性の対応に丸一日費やすよりも、高品質なソフトウェアを作りたいと考えています。両者ともビジネスを強化するために尽力していても、2つのチーム間のコラボレーションやソフトウェアパッケージの依存関係の明確な把握は異なるシステム、様々な情報、冗長性または一貫性のないレポートによって妨げられる可能性があります。
JFrogのセキュリティ事業のチーフ・テクノロジー・オフィサー(CTO)であるアサフ・カラス(Asaf Karas)は次のように述べています。「今日のエンタープライズソフトウェアのセキュリティソリューションの多くはソースコードとそのソフトウェアが本番環境へのリリース前に発生することにしか焦点を当てていないため、不十分です。ソフトウェアのサプライチェーンを真に保護するためには開発中のコードと本番環境のコードの両方をバイナリレベルで考慮する必要があります。JFrog Advanced Securityは単一の統合されたDevOpsプラットフォームで開発環境から本番環境に渡る豊富なバイナリおよびソースコード分析機能を提供し、複雑さを解消し、セキュリティ検出、評価、修復の作業を合理化できます」
JFrog Advanced Securityは開発者、セキュリティ、運用チーム間の合理的な橋渡し役として、高度なスキルを持つセキュリティリサーチチームによって、重要な共通脆弱性識別子(CVE)の検出、評価、改善戦略を導くための単一の情報源となるように設計されています。
・漏洩の可能性がある機密情報の検出:JFrog Artifactoryに保存されているあらゆるコンテナから流出した、あるいは漏洩したままのパスワード、アクセストークン、秘密鍵などの「秘密情報」を発見し、企業を危険にさらすAPIキー、内部トークン、認証情報の不慮の流出を防止します。
・コンテナのコンテキスト分析:この業界初のテクノロジーは開発プロセスの早い段階で、エンタープライズアプリケーション内の悪意のあるパッケージの存在や脆弱なオープンソースコードの利用に関するコンテナのスキャン機能を提供します。また、コンテナコンテキスト解析は独自のコードのコンテキストにおいて、どのオープンソースの脆弱性が実際に悪用可能であるかを詳細に示すことができるため、開発者は該当しないインシデントを無視または優先順位を下げることで、改善作業に集中することができます。
・安全でないライブラリとサービスの利用:開発者は一般的なオープンソースソフトウェアのライブラリやサービスが安全に利用されており、適切に設定されていないことで、企業が攻撃を受けやすい状態にあるかを迅速に特定することができます。
・脆弱なInfrastructure-as-Code(IaC):JFrog Artifactoryのインスタンスに保存されたIaCファイルを検査し、クラウドインフラのデプロイメントが誤設定によって悪用されることがないよう確認できます。
・単一のスケーラブルなアーキテクチャ:JFrogプラットフォームはオンプレミス、クラウド、マルチクラウド、ハイブリッド展開のソフトウェアポートフォリオ全体を包括的に制御し、保護するJFrog Advanced Security機能により、強化された組織内のアーティファクトを提供し、あらゆるスケールで拡張します。
・Artifactoryとのネイティブな統合:JFrog ArtifactoryはJFrogプラットフォームの中核であり、ユニバーサルバイナリリポジトリとして機能し、企業がソフトウェアのサプライチェーン全体のアップデートフローを安全で大規模に制御・管理することができます。
IDCのDevOpsおよびDevSecOpsのリサーチディレクターであるジム・マーサー(Jim Mercer)は次のように述べています。「サイバー攻撃の量と精巧さが増大し続ける中、組織は常に脅威を監視し、部門横断的に解決に取り組むという課題を抱えていますが、一方で無数のまとまりのないポイントソリューションを使っているために修正のスピードが低下しています。企業はセキュリティをDevOpsのワークフローに統合し、開発、運用、セキュリティチームを橋渡しして、ソフトウェアのサプライチェーン全体で効率的に脅威を是正するためのプラットフォームアプローチをより必要としているのです」
関連資料:
・JFrog Advanced Securityの詳細(英語):
https://jfrog.com/advanced-security-launch
・JFrogブログ「DevOps-Centric Security is Finally Here | Announcing JFrog Advanced Security」(英語)
https://jfrog.com/blog/announcing-jfrog-advanced-security-for-devops
(注1)JFrogによる調査(2022年9月)ソフトウェアサプライチェーンセキュリティソリューションの比較
(注2)“Resilience Requires a Modern Path to Board-Level Cyber, Privacy and Data Risk Governance,” Nasdaq Center for Board Excellence ‘Risk & Cyber Oversight’ Insights Council, by Rajesh De, Chris Hetner, Steve Roycroft, and Dominique Shelton Leipzig, Oct. 2022.
###
JFrog Japan株式会社について
JFrog Japan株式会社はJFrog Ltd.(JFrog)の日本法人として2018年に設立。JFrogは、開発者のキーストロークから製品まで、ソフトウェアの流れをシームレスかつ安全に実現する「Liquid Software」というビジョンを掲げ、世界中のソフトウェアアップデートを強化するミッションに取り組んでいます。JFrogのDevOpsプラットフォームにより、ソフトウェア開発組織はバイナリのライフサイクル全体を通じてソフトウェアのサプライチェーンを包括的に強化し、ソースを構築、保護、配信し、あらゆる本番環境と接続することができます。JFrogのハイブリッドでユニバーサルなマルチクラウドDevOpsプラットフォームは、AWS、Microsoft Azure、Google Cloud上で、オープンソース、自己管理型、SaaSサービスとして利用できます。Fortune 100企業を含む多くの企業とユーザーが、JFrogのソリューションを活用しデジタルトランスフォーメーションを安全かつ円滑に推進させています。詳細はhttps://jfrog.com/ja/をご覧ください。Twitterのフォローはこちらから:@jfrog_jp
・JFrogの名称、ロゴマークおよびすべてのJFrog製品の名称は、JFrog Ltd.の登録商標または商標です。
・その他、このプレスリリースに記載されている会社名および製品・サービス名は、各社の登録商標または商標です。
Cautionary Note About Forward-Looking Statements(将来の見通しと注意事項 – 以下英文)
This press release contains “forward-looking” statements, as that term is defined under the U.S. federal securities laws, including but not limited to statements regarding JFrog’s Advanced Security technology, statements made by JFrog’s Executives, and the ability of Advanced Security to help resolve cybersecurity threats, reduce overhead, identify malicious code, eliminate complexity and streamline security detection, assessment and remediation efforts.
These forward-looking statements are based on our current assumptions, expectations and beliefs and are subject to substantial risks, uncertainties, assumptions and changes in circumstances that may cause JFrog’s actual results, performance or achievements to differ materially from those expressed or implied in any forward-looking statement. There are a significant number of factors that could cause actual results, performance or achievements, to differ materially from statements made in this press release, including but not limited to risks detailed in our filings with the Securities and Exchange Commission, including in our annual report on Form 10-K for the year ended December 31, 2021, our quarterly reports on Form 10-Q, and other filings and reports that we may file from time to time with the Securities and Exchange Commission. Forward-looking statements represent our beliefs and assumptions only as of the date of this press release. We disclaim any obligation to update forward-looking statements.