JFrog、複雑なソフトウェアサプライチェーンの現状レポートを発表

JFrogが2024年ソフトウェアサプライチェーンレポートを発表。現代のテクノロジー環境の複雑さを乗り越えようとしているArtifactory開発者やDevOpsプロフェッショナルにとって、重要なリソースとして浮上している。Artifactoryデータ、JFrogセキュリティーリサーチチームの分析、および1,200人のセキュリティー、開発、運用プロフェッショナルからのアンケート回答を組み合わせたこのレポートは、ソフトウェアサプライチェーンの状態と、複雑性が増す中でのセキュリティー確保の要件を理解することを目的としている。

レポートの主な調査結果の1つは、業界全体で使用されているテクノロジースタックの多様性が高まっていることだ。調査では、組織の半数以上が4～9個のプログラミング言語を使用しており、約3分の1が10個以上のプログラミング言語を使用していることが明らかになった。この多様性により、ソフトウェアサプライチェーンが複雑になり、攻撃対象領域が拡大するため、開発者とDevOpsチームは、依存関係を管理し、幅広いテクノロジーにわたってセキュリティーを適用するために、適切なツールとプロセスを採用する必要がある。

このレポートでは、ソフトウェア開発におけるオープンソースコンポーネントの急増にも焦点が当てられている。これは有益である一方で、重大なセキュリティー上の課題ももたらしている。この調査では、特にnpmとPyPIにおける共通脆弱性識別子（CVE）の増加が指摘されている。開発者にとって、どの脆弱性が重大で、どの脆弱性がそうでないかを理解することは、無駄な労力を減らし、修復ではなくイノベーションに集中するのに役立つ。このレポートでは、悪意のある活動が増加する中でオープンソースソフトウェアを安全に使用する方法についての洞察が提供されている。

セキュリティー対策の大きな変化も、このレポートから得られるもう1つの重要なポイントだ。調査では、組織がセキュリティーを後付けで扱うのではなく、開発プロセスの不可欠な部分として扱うようになっていることが示されている。調査対象となった専門家の89%が、組織がセキュリティーフレームワークを採用していると回答しており、より積極的なセキュリティー対策への傾向が明確に見られる。開発ライフサイクルの早い段階でセキュリティーを統合するという「シフトレフト」と呼ばれる変化により、運用環境の脆弱性を大幅に削減できる。

このレポートでは、開発プロセスにおけるAIと機械学習（ML）の役割についても詳しく説明している。これらのテクノロジーはソフトウェアの構築方法を変革しており、組織はAIを活用してセキュリティープロトコルを強化し、開発を効率化している。このレポートでは、開発者がこれらのツールを活用して作業時間を短縮し、コードの品質を向上させる方法について洞察を提供している。

このレポートでは、拡大するソフトウェアサプライチェーンとそれに伴うリスクについて強調している。これは、記述されたコードだけの問題ではなく、コードが派生するエコシステム全体と、それが本番環境やそれ以降に至るまでの経路に関する問題だ。DevOpsチームにとって、これは、このサプライチェーンを効果的に管理し、コンプライアンス、セキュリティー、効率性を確保するという重大な責任を意味する。

2024 JFrogソフトウェアサプライチェーンレポートは、現代のソフトウェア開発の複雑さを乗り越えるDevOpsおよび開発チームのためのロードマップとして役立つ。重要な課題を浮き彫りにし、企業組織が新しいテクノロジーとプラクティスを活用してリスクを軽減し、イノベーションを推進する方法についての洞察を提供する。ますます相互接続される世界を進む中で、このレポートで概説されている戦略を理解して実装することが、ソフトウェアサプライチェーンの保護と最適化の鍵となる。

出典：JFrog