ソフトウェアの開発と配布はますます複雑になり、潜在的な脆弱性と脅威は数十倍にも増加しています。これにより、堅牢なセキュリティ対策の必要性がさらに重要になり、構築したすべてが危険にさらされる可能性があります。
これを認識し、Cloudsmith はソフトウェア アーティファクトが効率的かつ安全に管理されることを保証する最前線に常に立っています。この継続的な取り組みの一環として、私たちは最近、セキュリティ運用の合理化を支援する一連のポリシー管理機能をリリースし、潜在的な脅威に対して積極的に強化されたソフトウェア アーティファクトの効率的なガバナンスを確保しました。
ポリシー管理は、安全で準拠した効率的なソフトウェア環境を保証する重要なコンポーネントです。ポリシー管理の中核は、ソフトウェア アーティファクトに関連するルールとプロトコルを定義、実装、強制するための集中システムを提供します。この一元化されたアプローチにより、セキュリティ対策が全体にわたって一貫して適用されることが保証され、脆弱性がすり抜けてしまう可能性が低減されます。
Cloudsmith のポリシー管理システムは、次の柱を最前線として、ユーザーを念頭に置いて設計されています。
使いやすさ: Cloudsmith は直感的なインターフェイスを備えているため、技術的に詳しくない人でも、ポリシーの設定と管理が簡単に行えます。このユーザーフレンドリーなアプローチにより、チームは急な学習曲線を必要とせずにポリシーを迅速に実装して適応させることができます。
柔軟性: 同じソフトウェア環境は 2 つとして存在しないことを認識し、Cloudsmith のポリシー管理システムは柔軟になるように構築されています。ユーザーは、特定のニーズに合わせてポリシーをカスタマイズできるため、セキュリティ対策が各自の環境に合わせて調整されます。
包括的なカバレッジ: Cloudsmith のポリシー管理は、セキュリティの 1 つの側面だけに焦点を当てているのではなく、パッケージ署名やアクセス制御から脆弱性スキャンに至るまで、すべてをカバーする総合的なアプローチを提供します。この包括的な対応により、あらゆる潜在的なセキュリティ脅威に確実に対処できます。
コンプライアンスの強制: ポリシーが設定されると、Cloudsmith はポリシーが一貫して適用されることを保証します。システムはコンプライアンスを自動的にチェックし、逸脱があればすぐに特定され、対処されるようにします。
認証ポリシーは、誰が何にアクセスできるかを決定する事前定義されたルールのセットです。これらは安全なソフトウェア環境のバックボーンであり、無許可のユーザーを確実に寄せ付けません。
Cloudsmith のこの分野での最近の機能強化は、堅牢なセキュリティに対する同社の取り組みの証です。新しく導入された認証ポリシーにより、組織は API キーのローテーションを組織レベルで強制できるようになりました。以前はユーザーはキーを手動でローテーションするオプションがありましたが、状況は変わりました。
組織は、キー更新の特定の期間を設定したり、規定の期間内に更新されなかったキーを完全にブロックしたりできるようになりました。このプロアクティブなアプローチにより、古いキーや侵害された可能性のあるキーが残らないことが保証され、プラットフォームのセキュリティが強化されます。
Cloudsmith は、2023 年 1 月 4 日に発生したCircleCI 侵害から教訓を得て、パイプラインのセキュリティを強化するための一連の対策を提唱しています。この侵害に対応して、Cloudsmith はOIDC トークンのサポートを追加しました。これらのトークンは、長期間有効な資格情報に代わるより安全な代替手段であり、不正アクセスのリスクを軽減します。 OIDC トークンを使用すると、ユーザーはこれらの認証情報を CircleCI に保存することを回避でき、操作をさらに保護できます。
ソフトウェア ライセンスは、ソフトウェアをどのように使用、変更、配布できるかを規定します。これらのライセンスはソフトウェア利用のためのフレームワークを提供しますが、特定の制限や義務が伴う場合もあります。たとえば、ライセンスによっては、ソフトウェアの使用を制限したり、ソフトウェアに加えられた変更の共有を義務付けたりする条項が課される場合があります。これらのライセンスへの準拠を確保することは、倫理的なソフトウェアの使用の問題であるだけでなく、法的な必要性もあります。
Cloudsmith のライセンス ポリシーは、複雑さを簡素化するように設計されています。 Cloudsmith では、組織の「使用しない」カテゴリに分類されるパッケージにフラグを付けたり隔離したりできる機能により、ライセンス要件を常に遵守することが保証されます。これは、制限条項があるライセンスや共有の変更が必要なライセンスの場合に特に重要です。これらのライセンス チェックを自動化することで、Cloudsmith は時間を節約し、コンプライアンス違反に伴うリスクを大幅に軽減します。
ライセンスコンプライアンスの重要性の実例は、農機具メーカーの John Deere が直面した最近の課題に見ることができます。 Software Freedom Conservancy (SFC) は、John Deere が一般公衆利用許諾契約書 (GPL) に準拠していないことを強調しました。 GPL は、そのようなソフトウェアのユーザーにソース コードを共有することを要求し、一定レベルの透明性とコラボレーションを保証します。 SFCの主張は、ジョン・ディア社がこれらのライセンス契約を履行しないことで、農家の道具を修理する能力を危険にさらし、彼らの生計に影響を与えているというものだった。
John Deere の GPL 非準拠は、ソフトウェア ライセンスを遵守しないことによる潜在的な法的および倫理的な落とし穴をはっきりと思い出させます。同社は農家から複数の訴訟に直面し、司法省やホワイトハウスからも注目を集めた。 John Deere は最終的に、農家が機器の内部動作にさらにアクセスできるようにする契約を締結しましたが、この状況はライセンス遵守の重要性を浮き彫りにしています。
Cloudsmith のライセンス ポリシーは、そのようなシナリオを防ぐことを目的としています。 Cloudsmith は、組織が常にソフトウェア ライセンスの約束を遵守していることを保証することで、信頼、透明性、法的コンプライアンスの環境の構築を支援します。
継続的な統合と展開が重視されることで、継続的なセキュリティに対する並行したニーズも生まれています。脆弱性管理は、かつては定期的な監査活動でしたが、現在では日常的な懸念事項となっています。そのため、ソフトウェア ライフサイクルのできるだけ早い段階で脆弱性を検出して対処できるツールをチームが持つことが不可欠になります。 Cloudsmith のポリシーは、包括的でカスタマイズ可能なように設計されており、チームが俊敏性を損なうことなく堅牢なセキュリティ体制を維持できるようにします。
Cloudsmith の脆弱性ポリシーの際立った機能の 1 つは、アップロード時に共通脆弱性および暴露 (CVE) のアーティファクトを自動的にスキャンすることです。これらのポリシーの真の力は、トリガーできる自動アクションにあります。検出された脆弱性とその重大度に応じて、Cloudsmith はレビューのためにフラグを付けるか、影響を受けるアーティファクトを隔離して、ダウンロードを効果的にブロックできます。このレベルの自動化により、潜在的な脅威が実稼働環境に侵入する前でも確実に対処できます。
たとえば、チームは、重大度が低または中程度の脆弱性については通知を受けるが、重大度が高いまたは重大な脆弱性があるアーティファクトは完全にブロックすることを選択する場合があります。
Cloudsmith の脆弱性ポリシーは、万能のソリューションではありません。これらは詳細な制御を提供し、チームがパッケージ名、バージョン、またはバージョン グループに基づいてアクションを指定できるようにします。これにより、ポリシーがさまざまなプロジェクトやチームの特定のリスク選好度や運用上の微妙なニュアンスと一致することが保証されます。
しかし、最初のアップロード後に発見された脆弱性はどうなるでしょうか? Cloudsmith はそれもカバーしています。チームはアップロード後に追加のスキャンをトリガーできるため、アーティファクトが最新の脅威インテリジェンスに対して継続的に評価されるようになります。この継続的な評価により、最初のスキャン後に脆弱性が発見された場合でも、すぐに対処でき、ソフトウェア環境の安全性と準拠性が維持されます。
ソフトウェアの脅威はソフトウェア自体と同じくらいの速さで進化するため、Cloudsmith の脆弱性ポリシーはチームが一歩先を行くために必要なツールを提供し、セキュリティが常にプロアクティブであることを保証します。
Cloudsmith のセキュリティ戦略は、将来の課題を予測し、テクノロジーの変化する状況に適応し、プラットフォームが潜在的なリスクの数歩先を確実に進むようにすることです。ポリシー管理を含む新しく導入された機能は、この先進的なアプローチの証であり、ソフトウェア配布におけるより安全で確実な未来のための基礎を築くように設計されています。
ミッションクリティカルなソフトウェアを構築および展開するチームには、高度な制御が必要です。これらのソフトウェア チームは、きめ細かいユーザー管理ポリシー、役割ベースのアクセス制御、エンタープライズ クラスの適用とレポートを求めています。 Cloudsmith はこれらのチームを念頭に置いて構築されました。