コードの安全性・安定性を高める開発サイクル ~テスト管理の効率を上げ,脆弱性診断を自動で行う~
第3回 WhiteSource+Jiraの連携でDevSecOpsをやってみよう(前編)
はじめに
過去の連載
- 注1)
- 開発するアプリケーションに含まれるオープンソースコンポーネントの脆弱性やオープンソースライセンスの法的チェックを行うこと。
WhiteSourceの解析のしくみ
WhiteSourceはバージョン管理システムやCIツールと連携し,
Unified AgentはJavaで実装されており,
$ curl -LJO https://github.com/WhiteSource/unified-agent-distribution/releases/latest/download/wss-unified-agent.jar $ curl -LJO https://github.com/WhiteSource/unified-agent-distribution/raw/master/standAlone/wss-unified-agent.config
取得したリソースを開発環境の任意のディレクトリに配置し,
$ java -jar wss-unified-agent.jar -c wss-unified-agent.config -d source/sample-software
Unified Agentは,
WhiteSourceのサーバでは,
WhiteSourceのサーバはSaaSとオンプレミスで提供されていますが,
- 注2)
- WhiteSourceは,
オープンソースコンポーネントのライセンス, セキュリティ, 品質に関する独自のデータベースを所有し, 日々アップデートしています。
Prioritizeを使った脆弱性解析
Prioritizeは,
従来の解析手法では,
Prioritizeでは,
現在は,
- Maven,
Gradleを利用したJava, およびScala, Kotlin - JavaScript
(npm)
Unified Agentの設定ファイルで,
$ java -jar agent/bin/wss-unified-agent.jar -c wss-unified-agent.config -d source/sample-software -appPath source/sample-software/target/SampleSoftware.jar
処理が完了すると,
また,
以上がWhiteSourceが行うソフトウェアコンポジション解析の大まかな流れです。後編では,
日本だけでなく,
アジア圏でもアトラシアン製品販売のトップエキスパートであるリックソフトのWebサイトでは, 各アトラシアン製品の体験版を提供しているほか, アトラシアン製品専用のコミュニティも運営しています。まずはアクセスしてみては!
本誌最新号をチェック!
Software Design 2022年7月号
2022年6月17日発売
B5判/192ページ
定価1,342円
(本体1,220円+税10%)
- 第1特集
Vimの基本大全
どんな状況でも通用するviの使い方からしっかりと! - 第2特集
ソフトウェア開発のシン常識
ツール,設計,開発スタイルからの多面チェック - 特別企画
Pythonの最新情報をお届け!
PyCon US 2022レポート - 特別企画
MySQL×機械学習 HeatWave MLが変えるデータ活用のかたち
[前編]機械学習アプリ開発に新たな形態をもたらすHeatWave ML - 短期連載
MySQLで学ぶ文字コード
[1]CHARSETがわかれば文字化けは怖くない - 短期連載
新生「Ansible」徹底解説
[2]新旧の大きな変更点とその経緯
バックナンバー
コードの安全性・安定性を高める開発サイクル ~テスト管理の効率を上げ,脆弱性診断を自動で行う~
- 第12回 Tricentis Toscaを使ったテスト自動化でE2Eテストを最適化する(後編)
- 第11回 Tricentis Toscaを使ったテスト自動化でE2Eテストを最適化する(前編)
- 第10回 テストファーストな管理で,品質を落とさず素早くソフトウェアをリリース(後編)
- 第9回 テストファーストな管理で,品質を落とさず素早くソフトウェアをリリース(前編)
- 第8回 イノベーションを加速させるアジャイル開発/DevOps(後編)
- 第7回 イノベーションを加速させるアジャイル開発/DevOps(前編)
- 第6回 OSSの脆弱性とコンプライアンス違反に対応するには(後編)
- 第5回 OSSの脆弱性とコンプライアンス違反に対応するには(前編)
- 第4回 WhiteSource+Jiraの連携でDevSecOpsをやってみよう(後編)
- 第3回 WhiteSource+Jiraの連携でDevSecOpsをやってみよう(前編)