JFrog、ソフトウェアサプライチェーンを保護するオープンソース・イニシアチブ「Pyrsia」をContinuous Delivery Foundationに寄贈

この記事は約10分で読めます。

東京発(2022年10月31日)— 水が流れるようにソフトウェアを継続的にアップデートするLiquid Software(リキッド・ソフトウェア)というビジョンを掲げ、それに基づくJFrog DevOps Platformを提供するJFrog Japan株式会社(本社:東京、ジャパン・ジェネラル・マネージャー:ビッキー・チャン)の親会社である、JFrog Ltd.(以下JFrog)(NASDAQ:FROG)はこの度、オープンソース用セキュリティに関するJFrogの取り組みである「Pyrsia(ピルシア)」が、Continuous Delivery Foundation(CD Foundation、CDF)のインキュベーションプロジェクトになったことを発表しました。Pyrsiaは、ブロックチェーン技術を活用してソフトウェアパッケージ(バイナリ)を脆弱性や悪質なコードから保護するオープンソースソフトウェア・コミュニティのイニシアチブです。JFrogとCDFが協力することにより、集中管理モデルと策定されたロードマップの活用、さらに幅広いテクノロジーおよびオープンソースコミュニティ内におけるプレゼンスの拡大を通して、Pyrsiaの支持とエンゲージメントを広げることを目指します。

JFrogのデベロッパー・リレーションズのバイス・プレジデント、そしてCD Foundation運営委員のメンバーであるStephen Chin(スティーブン・チン)は次のように述べています。「長年のパートナーであるCD Foundationとともに、Pyrsiaを取り巻く環境を構築し、ソフトウェアのサプライチェーンをより安全にするというPyrsiaの使命を推進できることをうれしく思っています。CD Foundation、そして素晴らしい業界パートナーの支援により、開発者はPyrsiaを活用して、オープンソースコンポーネントが侵害されていないという安心感を得ることができ、自信を持って安全なソフトウェアを大規模に提供することができるのです」

調査によると、オープンソースのライブラリやコンポーネントは、平均的なソフトウェアアプリケーションのコードの75%以上を占め、平均的なソフトウェアアプリケーションは500以上のコンポーネントに依存しています。こうしたオープンソースへの依存は便利である一方で、脅威者が悪用できる新たな脆弱性をもたらすことにもなります。例えば、人気のあるオープンソースプロジェクトにマルウェアを注入する悪質な攻撃者が1人いた場合、下流の数千人のユーザーに影響を与える可能性があります。

Pyrsiaは、オープンソースベースの分散型セキュアビルド・ネットワークとソフトウェア・パッケージ・リポジトリで、開発者が現在使用しているパッケージ管理システムとシームレスに統合されているため、互換性、セキュリティ、効率性を損なうことなくソフトウェアコンポーネントを認証することが可能です。開発者は自身のコードにソフトウェア部品表(SBOM)に不可欠な構成要素であるデジタル署名の付いた変更不可能な証跡のチェーンを受け取ることができます。これにより開発者とそのお客様はパッケージの正確な出所を知ることができるため安心感をあたえる事ができます。

CD Foundationのエグゼクティブ ディレクターであるFatih Degirmenci(ファーティフ・デイルメンジ)は次のように述べています。「私たちはPyrsiaを継続的デリバリのエコシステムの一部であるプロジェクトの成長と維持という当団体のミッションの自然な延長と捉えています。最近業界として分かってきたのは誰もサイバー犯罪からまぬがれることは出来ないということ、特に悪質な業者が悪意のあるパッケージをセントラルリポジトリに注入した場合、下流のシステムやアプリケーションは大損害を被ります。私達は開発者の手に力を取り戻し、最終的にはイノベーションを加速させるPyrsiaをサポートできることを誇りに思います」

JFrogは、Docker、DeployHub、Futurewei、Oracleなどのオープンソース技術のリーダーたちと協力して、2022年5月にPyrsiaを正式に開始しました。それ以来、これらのソフトウェア大手企業は、ソフトウェアのサプライチェーンをより安全にする方法に関する専門知識をPyrsiaネットワークに貸し出し、CD Foundation内でプロジェクトを横断して協力する機会を作り、安全なパッケージとコミュニティツールを相互に連携させ、開発者が安全なソフトウェアを大規模に提供する能力の向上に貢献しています。

より詳細な情報を知りたい、またはPyrsiaコミュニティに参加されたい方は、こちらをご覧ください:https://pyrsia.io

業界パートナーからの応援コメント

Docker社 CTO Justin Cormack(ジャスティン・コーマック)氏は次のようにコメントしています。
「過去10年間、クラウドネイティブコミュニティは何百万人もの開発者と組織の生活を変える、驚くべき変革の力となってきました。次の10年に向けて、私たちはさらなる変革をもたらす新たな道を模索する必要があります。Pyrsiaは、私たちがその一員であることを誇りに思う野心的なコミュニティ・プロジェクトです。コンテナのエコシステムで生まれたイミュータブル・イメージという基本構造は、分散アーキテクチャをサポートしながら信頼性を確保するための理想的な基盤として重要な技術です。Pyrsiaは、重要な新興リスク領域であるサプライチェーンセキュリティの向上にも焦点を当て、その可能性を探っています。コミュニティとして力を合わせれば、クラウドネイティブの次の10年を新しくすることができます」

Oracle Labsのバイスプレジデント兼テクニカルディレクターであるEric Sedlar(エリック・セドラー)氏は次のようにコメントしています。
「ほとんどの開発者が知らず知らずのうちに悪意のあるパッケージやライブラリを実行したことがあると言っても過言ではありません。Pyrsiaは入手したバイナリがあなたが考えているものとは異なるソースコードでビルドされているかもしれないというソフトウェアサプライチェーンの問題を解決する可能性を秘めています。Pyrsiaの素晴らしさは、大企業から中小企業までソフトウェアのサプライチェーン全体が恩恵を受けられるというところです」

DeployHub, Inc.のCTOであるSteve Taylor(スティーブ・テイラー)氏は次のようにコメントしています。「Pyrsiaはソフトウェアのサプライチェーンセキュリティを改善する最初のオープンソース・プロジェクトであり、DeployHubはその一員であることを誇りに思っています。CD Foundationのバックアップは全く新しい可能性を生み出します。この先の行方が楽しみです」

###

CD Foundation(CDF)について

CD Foundationは、ソフトウェアを安全かつ迅速に提供する能力を世界的に向上させることを目的としています。CDFはベンダー中立な組織で、ソフトウェア・デリバリのオートメーションのベストプラクティスを確立し、CDツールの教育と導入を推進し、新しい技術間の相互交流を促進します。CDFは、Jenkins、Jenkins X、Tekton、Spinnakerなど、急成長中のCDプロジェクトを多くホストしています。CDFは非営利団体Linux Foundationに属しています。CDFの詳細についてはhttps://cd.foundationをご覧ください。

JFrog Japan株式会社について

JFrog Japan株式会社はJFrog Ltd.(JFrog)の日本法人として2018年に設立。JFrogは、開発者のキーストロークから製品まで、ソフトウェアの流れをシームレスかつ安全に実現する「Liquid Software」というビジョンを掲げ、世界中のソフトウェアアップデートを強化するミッションに取り組んでいます。JFrogのDevOpsプラットフォームにより、ソフトウェア開発組織はバイナリのライフサイクル全体を通じてソフトウェアのサプライチェーンを包括的に強化し、ソースを構築、保護、配信し、あらゆる本番環境と接続することができます。JFrogのハイブリッドでユニバーサルなマルチクラウドDevOpsプラットフォームは、AWS、Microsoft Azure、Google Cloud上で、オープンソース、自己管理型、SaaSサービスとして利用できます。Fortune 100企業を含む多くの企業とユーザーが、JFrogのソリューションを活用しデジタルトランスフォーメーションを安全かつ円滑に推進させています。詳細はhttps://jfrog.com/ja/をご覧ください。Twitterのフォローはこちらから:@jfrog_jp

・JFrogの名称、ロゴマークおよびすべてのJFrog製品の名称は、JFrog Ltd.の登録商標または商標です。
・その他、このプレスリリースに記載されている会社名および製品・サービス名は、各社の登録商標または商標です。
・本資料は米国2022年10月25日にJFrog Ltd.より発表されたプレスリリースの抄訳です。

Cautionary Note About Forward-Looking Statements(将来の見通しと注意事項 – 以下英文)
This press release contains “forward-looking” statements, as that term is defined under the U.S. federal securities laws, including but not limited to statements regarding the Pyrsia Initiative, statements made by JFrog’s Executives, and the ability of the Pyrsia Initiative to provide better security to software supply chains.

These forward-looking statements are based on our current assumptions, expectations and beliefs and are subject to substantial risks, uncertainties, assumptions and changes in circumstances that may cause JFrog’s actual results, performance or achievements to differ materially from those expressed or implied in any forward-looking statement. There are a significant number of factors that could cause actual results, performance or achievements, to differ materially from statements made in this press release, including but not limited to risks detailed in our filings with the Securities and Exchange Commission, including in our annual report on Form 10-K for the year ended December 31, 2021, our quarterly reports on Form 10-Q, and other filings and reports that we may file from time to time with the Securities and Exchange Commission. Forward-looking statements represent our beliefs and assumptions only as of the date of this press release. We disclaim any obligation to update forward-looking statements.

タイトルとURLをコピーしました