オープンソースの依存関係：開発者が知っておくべきこと

内容

オープンソースの依存関係

オープンソースのフレームワークやライブラリは、アプリ開発作業におけるレゴのようなもので、パッケージマネージャを使って、時間を節約したり、車輪の再発明を避けたり、暗号のような重要な要素のためにコミュニティが検証したコードを利用したりすることができる。エコシステムには未開拓の多くの可能性と速度があるが、夜中にレゴブロックを踏むように、これらの依存関係を誤って管理すると、予期せぬ、驚くほど鋭い痛みを伴うことがある。

別名

サードパーティパッケージ

外部ライブラリ

8人に1人

オープンソースのダウンロードには既知のリスクがある。

ソース

ソナタイプ

第6位

セキュリティ・リスクの中で最も一般的かつ危険なものであり、OWASPコミュニティ調査では第2位である。

ソース

オワスプ

96%

のコードベースにオープンソースコンポーネントが含まれ、1アプリケーションあたり平均526個のコンポーネントが含まれている。

ソース

シノプシス

オープンソースの依存関係とその仕組みの例

ウェブ・アプリケーションの場合、オープンソースの依存関係には主に3つの種類がある：

推移的依存関係

あなたのプロジェクトがNode.jsに依存し、Node.jsが何百もの他のライブラリに依存している場合、あなたもそれらに依存しています。第3層、第4層、第5層の依存関係からなるこの広大なエコシステムを管理するのは、すぐに本当に面倒なことになります。

開発への依存

フレームワーク、ビルドツール、コードフォーマッタやリンター、ドキュメントジェネレータなど、開発中に活用するツール。これらはアプリの実際の実行には必要なく、本番環境用のビルドには含まれません。

ランタイム依存関係

例えば、データを保存するためにMySQLの特定のバージョンに依存したり、Node.jsのような実行環境に依存したりするなど、アプリケーションを正常に実行するために必要不可欠なコンポーネント。

オープンソースの依存関係を管理することは、開発者にとってどのように役立つのか？

セキュリティ・リスクに対する理解を深める

オープンソースのライブラリの中で最も人気があり、開発が盛んなものであっても、アプリやユーザーエクスペリエンス、あるいは機密の顧客データに影響を与えかねない重大な脆弱性が密かに潜んでいる可能性があります。これらの依存関係を管理することで、被害が発生してからパッチのために奔走するのではなく、プロアクティブにリスクを軽減することができます。

安定性と信頼性

依存関係を更新することによる影響を完全に可視化できれば、はるかに少ないリスクでバグ修正、パフォーマンス向上、新機能の恩恵を受けることができる。

コンプライアンス保証の強化

オープンソースのライセンシングはまさにリーガルリスクの地雷原であり、それは痛みを伴うリファクタリングプロジェクトをもたらす可能性があります。現在のライセンシングエコシステムを可視化し、長期にわたる変更を追跡する能力があれば、さらなる頭痛の種を引き起こすことなく、これらの既製のコンポーネントから安全に利益を得ることができます。

アプリをすぐに保護する

Aikido 、すべてのコードとクラウドのセキュリティ問題の概要を即座に提供し、リスクの高い脆弱性を迅速にトリアージして修正することができます。

無料スタート

オープンソースの依存関係を管理・スキャンする方法：概要

依存関係のインストールやアップデートの方法はすでに知っていると思いますが、脆弱性や潜在的なライセンスリスクをスキャンする方法についてはどうでしょうか？残念ながら、依存関係をスキャンするためのツールのエコシステムは非常に複雑に感じられ、多くの人が受動的にGitHubのDependabotやGitLabのDependency Scanningのようなツールに頼るようになる。

依存性スキャンの実装

コードをGitHub/GitLabリポジトリにプッシュする。

待ってくれ。

依存性スキャナーが脆弱性を知らせてくれることを祈る...そして適切な人がそれを見て適切な修正を施してくれることを祈る。

合気道でも

Aikido

接続GitHub、GitLab、Bitbucket、または Azure DevOps アカウントに接続します。

スキャンするレポ/クラウド/コンテナを選択します。

数分で優先順位付けされた結果と改善アドバイスを得ることができます。

効果的なオープンソース依存関係管理のベストプラクティス

新しいアプリを開発する際には、まず何らかのロックファイル（例． パッケージロック.json)を使用することで、開発/ステージング/本番環境や、非同期で作業する複数の開発者であっても、一貫したインストールを保証することができる。

同じ機能を自分自身で合理的に実装できるかどうか、コスト・ベネフィットを分析してください。もしそうでなければ、各パッケージのコミュニティの強さ、積極的にメンテナンスされているかどうか（特にセキュリティの脆弱性について）、過去に攻撃のベクトルとなっていないかどうか、などを評価します。

すべての依存関係管理作業を手作業で行うべきではありません。オープンソースの依存関係管理もCI/CDパイプラインにループさせることで、新しく採用されたパッケージの脆弱性をいち早くキャッチできるようになる。ビルドの成果物も安全に保管されるようにしてください。依存関係とライセンスのインベントリを長期にわたって保管することで、コンプライアンス作業が劇的にスムーズになります。

最後に、updateコマンドを使って依存関係を定期的に更新しておくこと。

オープンソースの依存関係のスキャンを無料で始める

あなたのGitプラットフォームをAikido 接続し、オープンソースのサプライチェーン全体に存在する脆弱性を、即座のトリアージ、スマートな優先順位付け、迅速な修復のためのピンポイントのコンテキストで発見しましょう。

無料でリポジトリとコンテナをスキャン

最初の結果は、読み取り専用アクセスで60秒後。

SOC2タイプ2および

ISO27001:2022認証取得