ビズリーチは2019年8月27日、オープンソースソフトウェア(OSS)に含まれている脆弱性を検出して対応策を通知するクラウドサービス「yamory(ヤモリー)」を発表、同日提供を開始した。OSSを組み込んでアプリケーションを開発している企業に向けて提供する。
ビズリーチのは、脆弱性管理ツール「yamory(ヤモリー)」を提供している。yamoryは、ITシステムの脆弱性を自動で検出し、対応策を通知するクラウドサービスである。脆弱性データベースと照合して、利用しているソフトウェアの脆弱性を調査する(図1)。
図1:yamory(ヤモリー)の概要(出典:ビズリーチ)
拡大画像表示
拡大画像表示
具体的には、利用しているオープンソースを抽出し、脆弱性データベース(オープンソースの脆弱性情報と、攻撃用コード)と照合する。この上で、サイバー攻撃の危険度などを基に、対応の優先度を自動で分類する。
GitHubと連携し、GitHubのリポジトリごとに脆弱性をスキャンできる。GitHub以外のリポジトリホスティングサービスを利用している場合でも、コマンドラインから脆弱性をスキャンできる。
yamoryによって、オープンソースの利用状況の把握、脆弱性などの情報収集と照合、対応の優先順位付け、対応策の通知、などを自動的に行える。これにより、セキュリティの専門知識がない人でもオープンソースの脆弱性を管理できる。