Google Cloud で Endor Labs の依存関係管理ソリューションを活用して、ソフトウェア サプライ チェーンを保護
Google Cloud Japan Team
※この投稿は米国時間 2023 年 7 月 6 日に、Google Cloud blog に投稿されたものの抄訳です。
オープンソース ソフトウェア(OSS)は、誰もが使用、変更、配布できるタイプのソフトウェアです。開発チームは、OSS エコシステムを活用することで多大なメリットを得ることができます。ただし、それに伴うセキュリティ、スケーラビリティ、サステナビリティの課題に対処するためのツールに組織が投資していることが不可欠です。こういったツールがなければ、組織とそのソフトウェア デリバリー パイプラインは、増え続けるサイバー攻撃ベクトルに絶えずさらされる可能性があります。
オープンソース ソフトウェアのライフサイクル管理
次のような課題への対処に Endor Labs を活用できます。
無駄なエンジニアリング サイクル: エンジニアは、機能の開発ではなく、現在のソフトウェア構成分析(SCA)ツールから報告される偽陽性の追跡に貴重な時間を費やすことがよくあります。
大きな運用リスク: 未検証かつ未使用のサポートされていない古い依存関係は、アプリケーションの復元力、パフォーマンス、セキュリティに影響を及ぼす可能性があります。
インベントリと可視性の欠如: オープンソース ソフトウェアを使用しているユーザーとその依存関係が不明確であると、直接依存関係と推移的依存関係の全体像も不明瞭になる可能性があります。
依存しているソフトウェアを保護することは、ソフトウェア サプライ チェーンのセキュリティ確保において重要な優先事項です。Google Cloud と Endor Labs を活用することで、その実現が可能になります。Google Cloud で Endor Labs の依存関係ライフサイクル管理ソリューションを使用することで、セキュリティ チームと開発チームはソフトウェアを安全に可能な限り再利用できるようになり、開発を加速できます。
Endor Labs の依存関係ライフサイクル管理ソリューションによってソフトウェア サプライ チェーンを保護
Endor Labs は、プログラム分析とコールグラフを使用して、組織でコードが実際にどのように使用されているのかを確認します。セキュリティ チームと開発チームは、依存関係グラフの理解を深めることで、以下のことを実現できます。
依存関係を選択する
ソフトウェア サプライ チェーンを保護する
OSS を安全に維持、更新する
ソフトウェア部品構成表(SBOM)に関する米国政府主導の新たな標準や規則および米国大統領令第 14028 号の遵守をサポートする
以下の図は、Endor Labs が組織の開発ライフサイクルをサポートして、組織がソフトウェア サプライ チェーン、つまりソフトウェアの開発とデリバリーに貢献しているコード、人員、システム、プロセスを保護できるようにする仕組みを示しています。
組織は環境内で、Endorctl と呼ばれる Endor Labs のクライアント バイナリを実行します。Endorctl はアプリケーションのソースコードを分析し、スキャンしたソフトウェア パッケージとリポジトリのメタデータを返します。メタデータは、この情報の表示と報告に使用されます。
組織は、環境内のすべてのスキャンを完了し、処理のためにメタデータを Endor Labs に返すことで、ソースコードの制御を維持できます。
以下の図を使って、さまざまなステージにわたるプロセスの仕組みを見ていきましょう。
デベロッパーは、プロジェクトに取り組み、ソリューションで必要な場合は OSS を活用します。
CI / CD の自動化の一環として、ソフトウェア パッケージでの依存関係の使用状況が Endor Labs によって確認されます。
Endor Labs によって脆弱な依存関係が検出され、そのネットワーク到達性が確認されることで、セキュリティ チームは可視性を確保できます。
新しい検出結果が関係者に報告され、組織内の生産性向上ツールを使用して修復が行われます。
Google Cloud を使用する Endor Labs のアーキテクチャ概要
Google Cloud での Endor Labs の実行では、サプライ チェーンとオープンソースのセキュリティを確保するための基本となる依存関係ライフサイクル管理が、次のサービスを使用して実現されます。
BigQuery を使用してデータセットから情報を取得することで、オープンソース ソフトウェア パッケージにタイポスクワッティング攻撃の可能性があるかどうか確認できます。BigQuery データセットは、組織が新しい依存関係情報を取得する際にも使用されます。
Endor Labs は、Google Kubernetes Engine を使用して、ユーザー インターフェース、API、スキャン インフラストラクチャの自動化のためのバックエンド処理、文書化といったサービスをホストします。
環境から収集されたログは Cloud Logging に送信されるので、運用チームは問題のモニタリングとエスカレーションを行って、早期解決につなげることができます。
Endor Labs はオープンソース プロジェクトを継続的にスキャンして、GitHub リポジトリとパッケージ リポジトリの脆弱性をポーリングします。この結果をセキュリティと運用上のリスクの先行指標および遅行指標とすることができます。Endor Labs の GitHub アプリをご利用の場合、GKE で起動される Kubernetes ジョブによってスキャンが自動的に行われます。
Endor Labs の依存関係ライフサイクル管理プラットフォームでは、以下の成果が重視されます。
現行のツールでは、アプリケーション内で OSS コードが実際に使用されているコンテキストが考慮されないために偽陽性の脆弱性アラートが生成されることがありますが、こういった現行のツールに取って代わることで、デベロッパーの生産性を向上させます。
使用されていない依存関係を削除し、サステナブルで高品質の依存関係を選択することで、アプリケーションのパフォーマンスを向上させ、攻撃対象領域を最小化します。
リスクがあり、保守管理されていない依存関係を特定して、次世代ソフトウェア サプライ チェーン攻撃を阻止することで、ソフトウェア サプライ チェーンを強化します。
ソフトウェア部品構成表(SBOM)に関する米国政府主導の新たな標準や規則および米国大統領令第 14028 号の遵守をサポートします。
Google Cloud で Endor Labs の依存関係ライフサイクル管理プラットフォームを使用することで、オープンソース ソフトウェアのライフサイクルを管理できるようになり、堅牢で安全なソフトウェアの構築に向けてアプリケーション開発を加速できます。
Endor Labs と Google Cloud の連携
Google Cloud は、テクノロジー、便利な専用のエンジニアリング サポート、市場開拓共同プログラムを簡単に利用できるようにすることで、Endor Labs のようなテック企業が Google のデータクラウド上で革新的なアプリケーションを構築できるように支援しています。
こういったテック企業は、Google Cloud Partner Advantage プログラムのメンバーであり、Google Cloud パートナー エコシステムで重要な役割を担っています。各種プラットフォームでソリューションの構築や統合を行う企業によって、顧客の選択肢が増え、市場により多くのソリューションが提供されます。
詳しくは、Endor Labs のサイト(https://www.endorlabs.com)にアクセスするか、デモをご予約ください。以下に示したレポートも併せてご覧ください。
- Google、クラウド パートナー エンジニアリング担当ディレクター Ali Arsanjani 博士
- Endor Labs、CEO / 共同創業者 Varun Badhwar 氏
