国産CNAPP(CSPM、SBOM、脆弱性管理)の「Cloudbase」が、Cloudbase Sensorの機能を拡張し、新たにJavaとPythonパッケージのスキャン機能を追加した。
CloudbaseはこれまでNode.jsの可視化に対応してきたが、現場のユーザーからは「実行環境が多岐にわたる中で、言語を横断して継続的にリスクを把握したい」というニーズがあったという。この課題に対し、今回新たにJavaとPythonへの対応を決定。これにより、より包括的なSBOMベースの脆弱性管理を、現場の負荷なく実現できるようになると述べている。
Javaパッケージのスキャン対応
Cloudbase Sensorが対象システム上のJARファイル(.jar / .war / .ear / .par)を自動的に検出・解析し、Javaパッケージ情報を収集するとのこと。MavenやGradleなどのビルドツールに依存せず、ファイルシステム上のすべてのJARを対象にスキャン可能だという。また、Spring Bootのfat JAR内に含まれるネストJARも再帰的に解析されるとのことだ。
取得される情報
- パッケージ名(groupId:artifactId)
- バージョン
- パス情報
- ハッシュ値
Pythonパッケージのスキャン対応
Pythonパッケージのメタデータ(.dist-info / .egg-infoなど)を解析し、インストール済みパッケージを自動収集するという。pip・conda・uvなどパッケージマネージャーに依存せず、仮想環境(venv)を含む複数環境を横断して可視化するとしている。
取得される情報
- パッケージ名
- バージョン
- ライセンス情報
- パス情報
- PURL(Package URL)
- 脆弱性の可視化
収集したSBOM情報をもとに、各パッケージに紐づく脆弱性情報を可視化するとのことだ。ソフトウェア一覧画面やリソース詳細画面から、対象環境のリスクを横断的に確認することが可能だという。
期待される効果
- アプリケーション内部のソフトウェア構成を自動で把握し、ブラックボックス化を防止
- 言語・実行環境を横断した一元的な脆弱性管理を実現
- SBOMベースの継続的なリスク評価・優先度判断を支援
- クラウド設定リスク(CSPM)とアプリケーション脆弱性の両面からの可視化
【関連記事】
・Cloudbase、「Azureリソースマップ」機能を全面リニューアル VNet単位でリソース構成を構造化表示
・中外製薬、内製開発でのセキュリティ検査属人化を低減 「Cloudbase」導入で開発コスト削減へ
・Trust Base、Cloudbaseの利用で未経験からDevSecOps自走可能に
この記事は参考になりましたか?
- 関連リンク
- この記事の著者
-
EnterpriseZine編集部(エンタープライズジン ヘンシュウブ)
「EnterpriseZine」(エンタープライズジン)は、翔泳社が運営する企業のIT活用とビジネス成長を支援するITリーダー向け専門メディアです。データテクノロジー/情報セキュリティの最新動向を中心に、企業ITに関する多様な情報をお届けしています。
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
この記事は参考になりましたか?
この記事をシェア
