開発者に優しいSCA ソリューションに欠かせない6 つの主要基準

オープン ソース ソフトウェア(OSS) は、クラウド ネイティブ アプリケーションの開発に欠かせない要素で あり、OSS のおかげで開発者は同じものを一から作り直すことなく、いち早くスタートを切ることができます。 しかし、パッケージ、パッケージ マネージャ、パッケージ レジストリが含まれたOSS は、リスクの温床に もなります。最近メディアを騒がせたLog4j をはじめとする脆弱性からもわかるように、OSS に脆弱性が含 まれることは珍しくありません。

こうしたリスクに対処する方法として、Software Composition Analysis (SCA) を利用してオープン ソースの 脆弱性とライセンスのコンプライアンスをスキャンする機能を実装できますが、すべてのSCA プロバイダが 同じ機能を備えているわけではありません。

本チェックリストでは、SCA プロバイダを評価する際に留意すべき6 つの主要基準をご紹介します。これら の基準を念頭に置くことで、可能な限り包括的かつ実用的なオープン ソース セキュリティを確保できるで しょう。