Aikido
無料で始める
CC不要
ブログ
/
製品および会社のお知らせ

SCA Everywhere: IDE内でオープンソースの依存関係をスキャンし修正

執筆者
Trusha Sharma
公開日:
2025年11月28日

依存関係の問題は、開発ワークフローに直接現れたときに最も対処しやすくなります。このリリースにより、Aikido IDE拡張機能に完全なSCAワークフローを導入し、エディター内スキャンとAutoFixによる安全なアップグレード適用機能を組み合わせます。開発者はツールを切り替えたり集中を中断したりすることなく、脆弱なパッケージを検出し、解決できます。

製品、エンジニアリング、セキュリティにおける当社の目標は変わりません。問題の特定から対応までの距離を短縮することです。

SCAをIDEに導入する理由

製品およびエンジニアリングの議論から、その理由は明らかでした。開発者は、依存関係の問題を早期に発見し、ツールを切り替えることなく解決し、CIでの遅い発見によるノイズを減らし、ワークフローを可能な限りコードに近づける必要があります。SCAは伝統的に開発ループの外にあり、作業が進行した後で発見されることがよくありました。これをIDEに持ち込むことで、これらの問題が適切な場所とタイミングで扱われ、古くなったパッケージや脆弱なパッケージの特定と対策の間のギャップが縮小されます。特に、AutoFixを通じて同じワークフロー内で修正が適用できるようになった今ではなおさらです。

仕組み

  • Aikidoは、依存関係マニフェストとロックファイルを読み取り、パッケージとバージョンの正確なリストを構築します。
  • 結果には、既知のCVE、深刻度、影響を受けるバージョン、および安全なアップグレード範囲が含まれます。
  • 手動でSCAスキャンを一度実行すると、拡張機能はワークスペースのロックファイル変更を監視し、結果を自動的に更新します

スキャンを実行するには:

  1. VS CodeでAikidoサイドバーを開く
  2. オープンソースの依存関係へ
  3. 「スキャンを開始」をクリック
  4. パッケージを選択して、詳細、アドバイザリ、および修正ガイダンスを表示します。
  5. 各検出結果は、問題を解決する最小安全バージョンまたはバージョン範囲を示しています
  6. サポートされているエコシステムでは、AutoFixはマニフェストを更新したり、IDEから直接安全なバージョンバンプを適用したりできます。

これにより、検出と修復が一箇所に集約されます。スキャンと修正は、複数のツールをまたぐのではなく、エディター内で完結するようになります。

SCA Autofix

これが可能にするもの

IDEでSCAが利用可能になることで、依存関係チェックは以下のようになります。

  • CI導入前
  • 個別のツールに切り替えることなく、より迅速に
  • 課題と修正ガイダンスを並べて、より明確に
  • サポートされているVS CodeエコシステムではAutoFixにより実行可能です

エンジニアリングチームにとって、これは依存関係のドリフトと遅延修正のバックログを削減します。セキュリティチームにとっては、ノイズが少なく、引き継ぎの回数も減り、問題が発見・解決されます。

使用する言語全体でのSCA

既知のCVEやリスクのあるオープンソースライセンスについて、依存関係のSCAスキャンを実行します。スキャンは、ビルドの再現性を高め、脆弱なパッケージの検出を改善するのに役立つ依存関係マニフェストとロックファイルに基づいて行われます。ロックファイルは、プロジェクトのルートとすべてのサブフォルダーの両方でスキャンされます。

IDEは、AikidoのリポジトリおよびCIスキャンと同じ依存関係スキャンサポートを使用しています。これには、JavaScriptとTypeScript、PHP、Java、Swift、Go、Python、.NET、Ruby、Rust、Kotlin、Dart、Elixir、CおよびC++、Scala、Clojure、Unity UPMが含まれます。

スキャンされるサポート対象言語とロックファイルの全リストについては、ドキュメントをご覧ください。
https://help.aikido.dev/code-scanning/scanning-practices/support-for-dependency-scanning-by-language

開発者が作業するあらゆる場所でのSCA

完全なSCAワークフローをIDEに導入することは、開発者がすでにコードを記述し、出荷している場所で重要なチェックを表面化させるための、より広範な取り組みの一部です。目標は、セキュリティシグナルを高速、正確、かつ作業に近い状態に保つことです。これには、依存関係のスキャンとAutoFixによる安全なアップグレードの適用が同じ場所で含まれるようになりました。エコシステムのカバレッジを拡大し、インエディターエクスペリエンスを改善し続けます。方向性はシンプルです。セキュリティを作業に近づけ、チームが見たものに基づいて行動しやすくすることです。

IDEでSCAを無料で試す  → https://help.aikido.dev/ide-plugins/features/open-source-dependency-scanning-sca-in-ide

最終更新日:
2026年1月9日
共有:

https://www.aikido.dev/blog/sca-in-ide-scan-and-fix-dependencies

脅威ニュースをサブスクライブ

今すぐソフトウェアを保護します。

今日から無料で始めましょう。

無料で始める
CC不要
関連記事
すべて表示
すべて表示
2026年2月24日
製品および会社のお知らせ

設計上どのようにAikidoが、AIペネトレーションテストエージェントを確実に保護するのか

学び方 Aikido が、アーキテクチャの分離、実行時のスコープ強制、ネットワークレベルの制御により、AIペネトレーションテストエージェントを保護し、本番環境のドリフトやデータ漏洩を防ぐ方法を学びましょう。

#
AI ペネトレーションテスト
#
AI安全性
#
AI
2026年2月16日
製品および会社のお知らせ

検知から予防へ:Zen実行時にIDOR脆弱性に対処する方法

IDOR脆弱性は、マルチテナントSaaSにおけるテナント間データ漏洩の最も一般的な原因の一つです。Zen クエリを分析し、出荷前に安全でないアクセスを防止することで、実行時にテナント分離をどのようにZen をご覧ください。

#
RASP
2026年2月13日
製品および会社のお知らせ

アップグレード影響分析のご紹介:コードに実際に影響を与えるブレイキングチェンジとは

Aikido 依存関係のアップグレードにおける互換性のない変更を自動的に検出し、コードベースを分析して実際の影響を表示するため、チームは安全にセキュリティ修正をマージできます。

今すぐ、安全な環境へ。

コード、クラウド、ランタイムを1つの中央システムでセキュアに。
脆弱性を迅速に発見し、自動的に修正。

スキャンを開始
CC不要
デモを予約する
クレジットカードは不要です | スキャン結果は32秒で表示されます。