ソフトウェア・サプライチェーンのリスクを最小限に抑えながら開発者の生産性を向上させる
ビジネス上の課題
今日の膨大な数のアプリケーションには、誰も知らない問題のあるコードが含まれています。問題のあるオープンソース・コード・ライブラリーは特定が難しく、アプリケーションにリスクをもたらす可能性があります。開発者やアプリケーション所有者は、複数のオープンソースおよびサード・パーティーのライブラリーを使用するアプリケーションの保守に苦労することが多く、ライセンス・リスクなどにつながることがよくあります。
開発者の離職率が高い場合、新しい開発者が問題を認識せずに古いライブラリーを引き継ぐと、リスクが増大します。その結果、隠れた脆弱性、ライセンス問題、古いバージョンなどを含むライブラリーがアプリによって使用される恐れがあります。
IBM Concertが課題を解決
IBM Concertは、アプリケーション・チームが問題のあるソースコード・リポジトリーやライセンス・リスクに対処できるように支援します。このツールは、オープンソースおよびサードパーティー製ライブラリーとその依存関係におけるセキュリティーおよびライセンス上のリスクを可視化します。Concertは、信頼性、保守性、セキュリティーなどの主要な指標を使用して、パッケージの脆弱性とその重要度を特定します。その後、それらに事前に対応するための具体的なアクションを提案します。
Concertは、アプリケーションのソフトウェア部品表(SBOM)に記述されているソフトウェア構成を分析し、既知の脆弱性を持つ公開(例:オープンソース)依存関係を検索します。Concertはまた、問題の多いライセンスや、サポートや保守の不足、または保守担当者が変更となった依存関係も検出します。
Concertを使用すると、オープンソースおよびサード・パーティーのライブラリーに関連する品質、信頼性、リスクを明確に把握できます。信頼性、保守性、セキュリティーなどの主要な指標に基づいて、より安全でセキュアなバージョンへのアップグレードを推奨します。このアプローチにより、より強力で安全なアプリケーションを実現するために、どのコンポーネントを保持し、どれを置き換えるべきかを判断できます。
Concertは、本番環境およびパイプライン内の脆弱なオープンソース・ライブラリーを積極的に軽減し、サービスの健全性を継続的に監視できるようにします。
Concertは、製造元またはサプライヤー、脆弱性、ライセンス、サポート対象外または悪意のあるパッケージなどの関連情報を強調表示することで、悪意のあるパッケージから効果的に保護できるよう、代替バージョンとパッケージを提案します。
Concertは、アプリケーションのソフトウェア部品表(SBOM)に記述されているソフトウェア構成を分析し、既知の脆弱性を持つ公開(例:オープンソース)依存関係を検索します。Concertはまた、問題の多いライセンスや、サポートや保守の不足、または保守担当者が変更となった依存関係も検出します。
Concertを使用すると、オープンソースおよびサード・パーティーのライブラリーに関連する品質、信頼性、リスクを明確に把握できます。信頼性、保守性、セキュリティーなどの主要な指標に基づいて、より安全でセキュアなバージョンへのアップグレードを推奨します。このアプローチにより、より強力で安全なアプリケーションを実現するために、どのコンポーネントを保持し、どれを置き換えるべきかを判断できます。
Concertは、本番環境およびパイプライン内の脆弱なオープンソース・ライブラリーを積極的に軽減し、サービスの健全性を継続的に監視できるようにします。
Concertは、製造元またはサプライヤー、脆弱性、ライセンス、サポート対象外または悪意のあるパッケージなどの関連情報を強調表示することで、悪意のあるパッケージから効果的に保護できるよう、代替バージョンとパッケージを提案します。
関連ユースケース
プロアクティブでAI搭載の洞察とオートメーションを提供して、アプリケーションの継続的なアップタイムを確保し、パフォーマンスを最適化し、アプリケーションのレジリエンスを強化します。これにより、再現性と拡張性のあるアプローチが実現されます。
アプリケーション所有者とサイト信頼性エンジニア(SRE)が、共通脆弱性識別子(CVE)の優先順位付け、緩和、追跡を積極的に実行できるようにし、レジリエントな運用を推進します。
進化するセキュリティー標準への継続的なコンプライアンスを推進し、リソースの使用を最小限に抑えながら、セキュリティーの整合性を最大化します。
サイロ化されたチームやツール間で証明書を一元的に表示することで、セキュリティ-・チームとITチームによる証明書の正常性管理を効率化します。