リーディングソフトウェアセキュリティー企業であるJFrog(ジェイフロッグ)は、「Runtime Scope」という新機能を発表した。この革新的な機能は、多くのセキュリティーチームが直面する共通の課題、つまりセキュリティー脆弱性やポリシー違反のスキャンが必要な膨大なデータとソフトウェアパッケージに対処するために設計されている。Runtime Scope機能は、現在本番環境で稼働しているソフトウェアに焦点を当てることで、チームがスキャン作業の優先順位付けを支援することを目的としている。これらのソフトウェアは、多くの場合、最も脆弱でリスクが高いものだ。
Runtime Scope機能は、JFrogのXrayとAdvanced Securityツールを使って、実行中の全てのクラスターの脆弱性を自動的にスキャンすることで機能する。これにより、手動スキャンが不要になり、実行中のものと実際に保護が必要なもののギャップを埋めるのに役立つ。このプロセスはシンプルで自動化されており、JFrog Runtimeは監視対象クラスターにデプロイされた新しいイメージを識別し、設定されたポリシーに基づいて包括的なセキュリティースキャンを開始し、潜在的な共通脆弱性識別子(CVE)を深刻度と実際に発生する可能性に基づいて優先順位付けする完全なCVE分析を実行する。
この新機能は、ソフトウェアセキュリティー分野における画期的なものだ。クラスター内でアクティブに実行されているイメージを自動的にスキャンすることで、スマートな優先順位付けが可能になり、実現不可能な「全てをスキャンする」アプローチから、より効率的な「関連するものだけをスキャンする」モデルへとリソースをシフトできる。また、実行時に検出された全てのイメージがデフォルトでスキャンされるようにすることで、セキュリティーの盲点を排除する。その他のメリットとしては、価値実現までの時間の短縮、大規模な集中管理、実用的なコンプライアンスなどが挙げられる。
JFrogのRuntime Scopeは、同社の完全統合型ソフトウェアサプライチェーン管理およびセキュリティープラットフォームの一部だ。実行中のものとスキャン対象のものを連携させることで、JFrogはセキュリティーチームとDevOpsチームを、事後対応型の手動プロセスから、完全に連携されたプロアクティブな自動化アプローチへと移行させる。この新機能は、チームのソフトウェアセキュリティーへのアプローチを刷新し、最も重要なリスクへの対応に注力することを可能にする。
出典:JFrog
この製品の詳細については、JFrog製品ページをご覧ください。
