大手ソフトウェア企業であるJFrog(ジェイフロッグ)は、System of RecordソリューションであるJFrog AppTrustの拡張を発表し、同ソリューションに初めて参加するエビデンスエコシステムパートナーを発表した。JFrog AppTrustは、ソフトウェアリリースに関する唯一の信頼できる情報源を提供することで、アプリケーションデリバリーガバナンスを強化することを目指している。このシステムは、GitHub、ServiceNow、Sonarといった世界をリードする企業からのエビデンスを統合し、信頼できる監査証跡を作成することで、可視性の向上、リスクの軽減、そしてリリース準備の確実性を実現する。
・GitHub Actionsビルド証明はJFrog Evidenceに変換され、コンプライアンス検証とポリシー適用のために各ソフトウェアパッケージと一緒に無期限に保存される。
・ServiceNowは、変更リクエスト、承認、脆弱性例外をJFrog AppTrustの署名付き証拠として共有する。
・Sonarの主力製品であるSonarQubeは、JFrog Evidenceを使って、コードカバレッジ証明とともに、署名されたコード品質とコード セキュリティーの問題を作成して共有する。
・Akuityは、既存の証拠を使って、リリース前にアプリケーションがプロモーションゲートとデプロイ環境を通過したことを検証し、Kargoプラットフォームを介して署名されたデプロイメント証明書を提供する。
・Aktoは、OWASP Top 10およびコンプライアンス検証全体のセキュリティー調査結果を含む証拠を生成し、リリース前に包括的なAPIセキュリティーテストが完了したことの検証可能な証明を作成する。
・CoGuardは、インフラストラクチャーアズ コード(IaC)、アプリケーション、オペレーティングシステムの検出結果を含む、署名された構成セキュリティースキャン結果をJFrogのソフトウェアパッケージに添付し、デプロイ前にセキュリティー標準が満たされていたことの検証可能な証拠として提供する。
・Daggerは、ローカルおよびCIワークフロー実行に対してDagger Cloudからの署名付き実行証明を提供し、実行トレースへの直接リンクを含むビルドおよびテストプロセスの検証可能な証明を作成する。
・Gradleは、Develocity Provenance Governmentプラットフォームからの署名付きビルド証明書をJFrog Evidenceとして提供し、ビルドメタデータ、依存関係の公開、パフォーマンスのインサイトをキャプチャーして、高速デプロイを保証するためのバイナリー チェーンの保管を確立する。
・NightVisionは、ソースコードと高速で認証されたグレーボックスDASTスキャンからAPI検出を実行し、脆弱性の証拠、コードレベルのインサイトによるエクスプロイトの検証、リリース前の修復ガイダンスを提供する署名済みの結果をイメージに添付する。
・Shipyardは、リリース前に再現可能なエンドツーエンドのテストが完了したことの検証可能な証拠として、テスト結果を含むエージェントおよび人間の検証をキャプチャーした署名済みの一時的な環境の証明を提供する。
・Troj.aiは、JFrogに保存されているAIモデルに対して自動化されたセキュリティーレッドチームテストを実行し、デプロイ前に包括的なAIモデルの動作テストが完了したことの検証可能な証拠として署名された結果を添付する。
JFrogの最高戦略責任者であるGal Marder氏は、ソフトウェアデリバリープロセスにおける明確で監査可能な唯一の真実の情報源の重要性を強調した。これは、全てのエージェントがリリース前に証明を必要とするエージェントAIの時代において特に重要だ。JFrogソリューションは、パートナー企業との連携により、暗号的に検証可能な証拠を収集し、コンプライアンスポリシーを適用するための信頼性の高いDevGovOpsソリューションを提供する。これにより、組織は信頼性が高く、コンプライアンスに準拠した安全なアプリケーションを自信を持って提供できる。
CISOやDevSecOpsリーダーは、特に迅速なソフトウェアデリバリーが求められる状況において、厳格な正式規制および社内規制、そしてセキュリティー要件を満たすよう、計り知れないプレッシャーにさらされている。コンプライアンス違反は、顧客の信頼の喪失、罰金、評判の失墜、そして法的問題につながる可能性がある。JFrogは、包括的な監査証跡を生成することでこれらの課題に対処する。監査とコンプライアンスの追跡を簡素化し、証拠収集を自動化し、暗号署名された認証データの信頼できる唯一の情報源を維持する。
JFrogは、エビデンス収集機能を強化するため、上記ソフトウェアリーダーと提携し、すぐに利用可能なエビデンス統合機能を開発している。これにより、組織はSDLCプロセスデータを単一の信頼できる情報源に統合できるようになる。これは、セキュリティーリスクの増大と規制当局の監視が強化される時代において、GRC(ガバナンス、リスク、コンプライアンス)の取り組みにとって極めて重要だ。エビデンスエコシステムの初期パートナーグループは、重要なソフトウェアアテステーションを収集・共有し、リリース前の包括的なセキュリティーテスト、コード品質、コンプライアンス検証の検証可能な証拠を提供する。エビデンスパートナーエコシステムには現在、複数の大手企業が参加しており、今後さらに多くのパートナーが追加される予定だ。
出典:JFrog
この製品の詳細については、JFrog製品ページをご覧ください。
