コードの安全性・安定性を高める開発サイクル ~テスト管理の効率を上げ,脆弱性診断を自動で行う~
第2回 DevOpsからDevSecOpsへの近道(後編)
DevSecOpsへの近道
前編で解説したとおり,
ソフトウェアコンポジション解析には,
WhiteSourceとは
WhiteSourceはオープンソースコンポーネントを検知し,
おもな特長
WhiteSourceのおもな特長は次のようになります。
- 誤検出ゼロ
- わかりやすいアラート通知
- 全体を俯瞰して脅威を見える化するダッシュボード
- 200以上のプログラム言語をサポート
- 検出された脆弱性の修正方法を提案してくれる
- Atlassian製品との統合により,
DevOpsからDevSecOpsへ
1.誤検出ゼロ
WhiteSourceは,
誤検出が多い場合は,
2.わかりやすいアラート通知
単なる警告通知
- セキュリティアラート
- 品質アラート
- ポリシーアラート
- バージョンアラート
ビルド前に,
3.全体を俯瞰して脅威を見える化するダッシュボード
検出したライブラリ一覧,
4.200以上のプログラム言語をサポート
WhiteSourceは,
5.検出された脆弱性の修正方法を提案してくれる
DevSecOpsの実現には,
6.Atlassian製品との統合により, DevOpsからDevSecOpsへ
WhiteSourceは,
表1 WhiteSourceと連携可能な代表的なツール
リポジトリ | GitHub |
---|---|
GitLab | |
Amazon ECR | |
Google Container Registry | |
Azure Container Registry | |
JFrog | |
Docker | |
継続的 インテグレーション | Microsoft Azure DevOps Server |
Jenkins | |
Bamboo | |
TeamCity | |
Microsoft Azure DevOps Services | |
CircleCI | |
Travis CI | |
テストツール | Micro Focus Fortify SSC |
Aqua | |
Checkmarx | |
アプリケーション ライフサイクル管理 | Microsoft Team Foundation Server Visual Studio Team Services |
Jira | |
ビルドツール | Apache maven |
Bundler | |
Gradle | |
SBT | |
Apache Ant | |
Bower | |
setuptools | |
NAnt | |
Google Cloud Build | |
AWS CodeBuild |
次回は,
日本だけでなく,
アジア圏でもアトラシアン製品販売のトップエキスパートであるリックソフトのWebサイトでは, 各アトラシアン製品の体験版を提供しているほか, アトラシアン製品専用のコミュニティも運営しています。まずはアクセスしてみては!
本誌最新号をチェック!
Software Design 2021年5月号
2021年4月16日発売
B5判/192ページ
定価1,342円
(本体1,220円+税10%)
- 第1特集
ハンズオンTCP/IP
コードで納得 ネットワークのしくみ - 第2特集
PHP 8移行のタイミングとコツ
コーディング,JITコンパイラ,フレームワークの3点で考える
バックナンバー
コードの安全性・安定性を高める開発サイクル ~テスト管理の効率を上げ,脆弱性診断を自動で行う~
- 第12回 Tricentis Toscaを使ったテスト自動化でE2Eテストを最適化する(後編)
- 第11回 Tricentis Toscaを使ったテスト自動化でE2Eテストを最適化する(前編)
- 第10回 テストファーストな管理で,品質を落とさず素早くソフトウェアをリリース(後編)
- 第9回 テストファーストな管理で,品質を落とさず素早くソフトウェアをリリース(前編)
- 第8回 イノベーションを加速させるアジャイル開発/DevOps(後編)
- 第7回 イノベーションを加速させるアジャイル開発/DevOps(前編)
- 第6回 OSSの脆弱性とコンプライアンス違反に対応するには(後編)
- 第5回 OSSの脆弱性とコンプライアンス違反に対応するには(前編)
- 第4回 WhiteSource+Jiraの連携でDevSecOpsをやってみよう(後編)
- 第3回 WhiteSource+Jiraの連携でDevSecOpsをやってみよう(前編)