BT

最新技術を追い求めるデベロッパのための情報コミュニティ

寄稿

Topics

地域を選ぶ

InfoQ ホームページ ニュース Sonatype LiftがFacebook Infer、Google ErrorProne等のコード分析ツールを統合

Sonatype LiftがFacebook Infer、Google ErrorProne等のコード分析ツールを統合

原文(投稿日:2021/06/21)へのリンク

先頃リリースされたSonatype Liftは、開発者が開発パイプラインのさまざまなバグをできるだけ早く特定するのに役立つ25を超えるツールを含む統合コード分析プラットフォームを提供すると、Sonatypeは言います。

Sonatype Liftは、GitHub、GitLab、およびBitBucketと統合して、プルリクエストに添付されたピアコードレビューで分析結果を報告する。ピアレビューによりバグ修正率が70倍向上することが証明されているため、この動作はSonatype Liftの有効性にとって重要であるとSonatypeは言います。

Liftには、Google ErrorProneFacebook Inferなどの25を超えるツールが含まれており、Java、C/C ++、JavaScript、Python、Golang、Ruby、Kotlin、Haskellなどの11の言語で動作する。

Sonatype Liftは、独自のコードベースを分析するだけでなく、[SonatypeのOSS INDEX] (SonatypeのOSS Index](https://ossindex.sonatype.org)からソフトウェア構成 (SCA) データを取得することで、依存するオープンソースの依存関係もスクリーニングする。Liftが脆弱なオープンソースライブラリを報告し、コードレビューにコメントとして含めることができる。

InfoQは、詳細について、Sonatypeの製品イノベーション担当副社長であるStephen Magill氏と話をした。

InfoQ: Sonatype Liftは、主要なコードホスティングプラットフォームと統合されています。開発者がバグや脆弱性を検出するのを支援するために、これらのプラットフォームが提供する機能とどのように重なりますか? Sonatype Liftの採用により、開発チームはどのような追加のメリットを期待できますか?

Magill氏: ネイティブソリューションと比較して、Sonatype Liftは、開発者がバグや脆弱性を検出するのを支援することに関して、より広範な分析、より深いインテリジェンス、およびより拡張可能なオプションを提供します。Sonatype Liftは、より広範囲の問題にフラグを立て、単純なリンティングだけでなく、スレッドセーフの問題やリソースリークなどのファイルにまたがる微妙で影響の大きいエラーを表面化します。

DevSecOpsとShiftLeftは、ソフトウェア開発チームの間でますます人気が高まっています。バグや脆弱性をできるだけ早くキャッチすることは、システムのセキュリティを向上させるための鍵です。現在のソフトウェアセキュリティコンテキストについてコメントしていただけますか?

Magill氏: Sonatype Liftは、コード分析をシフトレフトし、開発者のワークフローにセキュリティをもたらすことを前提に構築されているため、これらの用語がまさに適用されます。Liftとは、セキュリティを含むあらゆる種類のバグをできるだけ早く、開発者が修正しやすい方法で見つけて修正することです。開発者との対話を正しく行うことは、シフトレフトするための効果的な取り組みの重要な部分であり、Liftの主な焦点は、適切な結果 (開発者が気にするバグ)、適切なタイミング (コードが記述された直後)、および 適切なコンテキスト (コードレビューでコメントとして表示されます)で提示します。この組み合わせは、開発速度に影響を与えることなくバグ修正率を高めることが示されています。

Liftは開発者向けに構築されているため、誤検知率が低く、開発者がトリアージして修正しやすいエラーを強調表示することに重点を置いています。Liftは、時間、専門知識、およびコードリリースのより徹底的なレビューを実行する要望を持つセキュリティチーム向けに構築された、静的アプリケーションセキュリティテストまたはセキュリティ固有の分析ツールに代わるものではありません。むしろ、Liftは、プロセスの早い段階で修正できる信頼性の高いセキュリティ問題のサブセットを明らかにすることでSASTツールを補完し、開発者にSDLCの後半でより高品質のコードとより少ない問題を提供します。これにより、セキュリティチームは、残っている複雑で微妙な問題に集中できるため、実際にはSASTツールの価値が高まります。

InfoQ: Sonatypeは、ソフトウェアサプライチェーンの他のどの分野に対応しているのでしょうか?

Magill氏: Sonatypeは、完全なソフトウェアサプライチェーンに対応しています。私たちの使命は、サードパーティのオープンソースコード、ファーストパーティのソースコード、Infrastructure as Code (IaC)、およびコンテナ化されたコード用のツールを使用して、開発者がソフトウェア開発ライフサイクルを完全に制御できるようにすることです。私たちのNexusプラットフォームは、Fortune 1000企業で広く使用されており、開発者がオープンソースリスクを管理できるよう支援することに重点を置いているため、開発者はより優れたソフトウェアをより迅速に作成できます。このプラットフォームには、最も人気のあるアーティファクトリポジトリの1つであるNexus Repositoryと、クラス最高のソフトウェア構成分析のペアであるNexus LifecycleNexus Firewallが含まれています。機械学習、AI、行動分析に依存して、潜在的に悪意のある疑わしいオープンソースコンポーネントを特定し、それらが誰かのSDLCに侵入するのを防ぐ、新しい早期警告検出システムを特に誇りに思っています。

InfoQ: Sonatype Liftのロードマップには何があるのでしょうか? 近い将来、製品はどのように進化しますか?

Magill氏: コード品質に幅と深さの戦略を提供することは常に難しいバランスですが、Sonatype Liftがどこに向かっているのかわくわくしており、両方を実行できると考えています。開発者がコードを書くさまざまなエコシステムがあり、私たちは表面をひっかいただけです。これが私たちが注力している最大の領域である拡張です。

より多くの言語とバグのカテゴリをカバーする新しいツールを追加し続けており、開発チームが主流の言語で基幹業務アプリケーション、デプロイメント開発、インフラストラクチャースクリプト、あるいはデータサイエンスノートブックのイテレーションに取り組んでいるかどうかに関係なく、プラットフォームから価値を得ることができます。

また、Liftをより多くの開発者が利用できるようにするために、新しいリポジトリホストを追加します。結果を改善し、チームがコードの品質と開発効率を改善できるように、引き続き指標と学習機能を開発していきます。そして最後に、LiftとNexusの機能を統合して、Sonatypeの製品の完全なスイートを実行している顧客のインサイトと機能をさらに改善します。

Sonatypeがエンタープライズ規模でソフトウェアセキュリティプラクティスをサポートしてきた長年の経験を活用して、インサイトに満ちたレポート、修正の推奨事項、他のサービスとの堅牢な統合など、Liftの顧客に新しい高度な機能を提供する予定です。

Sonatype Liftは、パブリックリポジトリでは無料、プライベートリポジトリにはプレミアム枠が提供される。

この記事に星をつける

おすすめ度
スタイル

BT