パッケージのセキュリティとライセンスを評価するためのツールを調べる
ソフトウェア パッケージのセキュリティとライセンスの評価に役立つツールがサードパーティから提供されています。
前のセクションで説明したように、これらのツールによるアプローチの 1 つは、一元化された成果物リポジトリを提供することです。
スキャンをいつでも実行して、リポジトリに含まれているパッケージを検査できます。
2 つ目のアプローチは、ビルド パイプラインで使用されているパッケージをスキャンするツールを使用することです。
ビルド プロセス中に、ビルドごとにパッケージをスキャンでき、使用中のパッケージに関するフィードバックが瞬時に提供されます。
デリバリー パイプラインのパッケージを検査する
デリバリー パイプラインの実行中に、パッケージ、コンポーネント、ソース コードのセキュリティ スキャンを実行できるツールがあります。 多くの場合、このようなツールでは、ビルド プロセス中にビルド成果物を使用し、スキャンを実行します。 ツールでは、ローカル成果物リポジトリまたは中間ビルド出力を操作できます。 それぞれの例として、次のような製品があります。
| ツール | Type |
|---|---|
| Artifactory | 成果物リポジトリ |
| SonarQube | 静的コード分析ツール |
| Mend (Bolt) | ビルド スキャン |
パイプラインの構成
パイプラインでのライセンスの種類とセキュリティの脆弱性のスキャンの構成は、DevOps ツールで適切なビルド タスクを使用して実行されます。 Azure DevOps の場合、これらはビルド パイプライン タスクです。