JFrog、オープンソースソフトウェア用セキュリティの新時代を切り拓くソフトウェアサプライチェーンへの攻撃防止を支援する「Project Pyrsia」の立ち上げを発表
JFrog Japan株式会社
Docker、DeployHub、Futurewei、Oracleがソフトウェアパッケージとバイナリコード検証のためのブロックチェーンベースの分散型ネットワークで協業
東京発(2022年6月2日)—水が流れるようにソフトウェアを継続的にアップデートするLiquid Software(リキッド・ソフトウェア)というビジョンを掲げ、それに基づくJFrog DevOps Platformを提供するJFrog Japan株式会社(本社:東京都港区、ジャパン・ジェネラル・マネージャー:ビッキー・チャン)の親会社である、JFrog Ltd.(以下JFrog)(NASDAQ:FROG)は本日、ブロックチェーン技術を活用してソフトウェアパッケージ(バイナリ)を脆弱性や悪意のあるコードから保護する、オープンソースソフトウェア・コミュニティのイニシアチブであるProject Pyrsia(プロジェクト・ピルシア)を発表しました。Project Pyrsiaは、オープンソースベースの分散型セキュアビルド・ネットワークとソフトウェア・パッケージ・リポジトリで、開発者がソフトウェアコンポーネントの証明のチェーンを確立し、より高い信頼性を生み出すことを目的としています。本プロジェクトへの参加についてはPyrsiaのウェブサイト(https://pyrsia.io/docs/get_involved/)をご覧ください。
JFrogの共同創設者兼CEOであるShlomi Ben Haim(シュロミ・ベン・ハイム)は次のように述べています。「オープンソースは至る所にあり、常に革新と近代化の起源と見なされてきましたが、昨今のソフトウェア・サプライチェーン攻撃の増加により、あらゆる組織が脆弱になっています。開発者のために、開発者による組織であるJFrogは、コミュニティと協力してProject Pyrsiaを設立し、ソフトウェア・サプライチェーンを保護しながら誰もが自信を持ってオープンソースの採用を継続できるようにすることを誇りに思います」
オープンソースソフトウェアはオペレーティングシステム、ブラウザ、そして私たちの生活を支えるアプリケーションやサービスに至るまで、私たちが日常で利用しているほぼすべての技術において重要な要素となっています。しかし、ソフトウェアのサプライチェーンに対する攻撃の数(https://jfrog.com/blog/a-year-of-supply-chain-attacks-how-to-protect-your-sdlc/)、その巧妙さや深刻さが昨年増加したことは間違いありません。JFrogのセキュリティ・リサーチ・チーム(https://research.jfrog.com/)は、ここ数カ月で20以上の異なるオープンソースのソフトウェアサプライチェーン攻撃を追跡し、そのうちの2つがゼロデイ攻撃でした。オープンソースのコンポーネントは開発をより効率的にするために設計されていますが、ソフトウェアがどこから来たのかが分からないため、発見しにくいリスクにより、安全性に対する疑念や不安を抱かせることになります。
そこでJFrogはDocker、DeployHub、Futurewei、Oracleなどのオープンソース技術におけるリーダーたちと協力し、オープンソースのソフトウェアパッケージのソースとセキュリティを検証するためのコミュニティ「Project Pyrsia」を立ち上げました。Pyrsiaを活用することで、開発者は依存関係を安全に管理するための複雑なプロセスを構築・維持・運用する必要なく、コンポーネントが侵害されていないことに確信を持ち、自信を持ってオープンソースソフトウェアを活用できます。
JFrogのデベロッパー・リレーションズのバイス・プレジデントであるStephen Chin(スティーブン・チン)は次のように述べています。「JFrogでは、オープンソースのセキュリティは、企業が利用できるものと同じツールやサービスをコミュニティに提供した場合にのみ実現できると考えています。オープンソースでカスタマイズ可能なアーキテクチャと、堅牢で活発なコミュニティの組み合わせにより、Pyrsiaはセキュアなソフトウェアパッケージを入手するための最も透明性の高い、信頼できる方法となります。オープンソースが真のイノベーションの根源であり継続していくために、業界パートナーやコミュニティがオープンソースの保護にご協力いただき、とても感謝しております」
Pyrsiaは、開発者が現在すでに活用しているパッケージ管理システムとシームレスな統合を目指しており、開発者は互換性、セキュリティ、効率性を損なうことなくソフトウェアコンポーネントの認証を行います。SigstoreのCosignやNotary V2などのスタンダードの活用により、開発者はPyrsiaのネットワークからコンテナへ迅速にアクセスできます。デジタル署名の活用から、開発者はコードの不変を裏付けし、パッケージの正確なソースを知ることで安心感を得られるようになります。
ソフトウェアコンポーネントの検証にPyrsiaを活用する手順を開発者に伝えるため、一部の事業者が、誰でも利用できるようにイメージを構築して公開します(別名、プロジェクト「bootstrap」)。Pyrsiaのサポートに関心のある組織は、ボランティアとしてプロジェクトの最初の分散型ネットワークの構築を支援できます。さらに、Project Pyrsiaの分散型フレームワークは、次のようなサービスを提供します。
・オープンソースソフトウェアのための独立した、セキュアなビルドネットワーク
・ソフトウェアパッケージの信頼性
・既知のオープンソースソフトウェアの依存関係の完全性
Project Pyrsiaの詳細または参加を検討される方は、是非こちらのサイトまで:
https://pyrsia.io/
プロジェクトの詳細は後日、JFrog Japanのブログ(https://jfrog.com/ja/blog/)にて提供いたします。
業界パートナーからの応援コメント
DeployHub, Inc.のCTOであるSteve Taylor(スティーブ・テイラー)氏は次のようにコメントしています。
「DeployHubチームはサプライチェーンの安全性確保に重点を置いており、ビルドとパッケージの段階から完全に監査することが最善だと考えています。Pyrsiaは「コンセンサス・ビルドネットワーク」を介してこの部分の改善を導入する最初のオープンソースプロジェクトとなります。ビルドとパッケージの崩壊は満を期した出来事であり、DeployHubはこの革新的なチームの一員であることを誇りに思います」
Docker社 CTO Justin Cormack(ジャスティン・コーマック)氏は次のようにコメントしています。
「Dockerでは、今こそコミュニティが協力して、サプライチェーンとその中核となるビルドとパッケージングのための重要なコンポーネントを巡るイノベーションに取り組むべき時だと考えています。この度、Project Pyrsiaに参画し、コミュニティとの協働をとても楽しみにしています。Project Pyrsiaは、イノベーションとより良い開発者エクスペリエンスを促進し、そしてコアコンテナ・プリミティブの上に新しい種類のインフラを構築するとても大きな機会です」
Futurewei Technologies, Inc.、クラウドインフラストラクチャーおよびプラットフォームアーキテクチャ オープンソースエコシステムパートナーシップ担当ディレクター David Lai(デイビッド・ライ)氏は次のようにコメントしています。
「オープンソースのProject Pyrsiaでは、オープンソースソフトウェアベースのアプリケーションが依存するセキュリティ、透明性、完全性を実現する第三者認証の分散型ソフトウェアパッケージネットワークを開発中です。Futureweiは、オープンソース、オープンスタンダード、オープンエコシステムを介してデジタル・トランスフォーメーションのためのイノベーションを加速するために、オープンソースコミュニティとの協力をコミットしています。オープンソースソフトウェアの普及に伴い、オープンソースソフトウェアのサプライチェーンを確保することが重要な課題となっています。Project Pyrsiaのメンバーとなり、他のメンバーと協力して開発者コミュニティに価値をもたらす、また安全で信頼できるオープンソースソフトウェア・サプライチェーンのツール提供を実現でき嬉しく思っております」
###
JFrog Japan株式会社について
JFrog Japan株式会社はJFrog Ltd.(JFrog)の日本法人として2018年に設立。JFrogは、開発者のキーストロークから製品まで、ソフトウェアの流れをシームレスかつ安全に実現する「Liquid Software」というビジョンを掲げ、世界中のソフトウェアアップデートを強化するミッションに取り組んでいます。JFrogのDevOpsプラットフォームにより、ソフトウェア開発組織はバイナリのライフサイクル全体を通じてソフトウェアのサプライチェーンを包括的に強化し、ソースを構築、保護、配信し、あらゆる本番環境と接続することができます。JFrogのハイブリッドでユニバーサルなマルチクラウドDevOpsプラットフォームは、AWS、Microsoft Azure、Google Cloud上で、オープンソース、自己管理型、SaaSサービスとして利用できます。Fortune 100企業を含む多くの企業とユーザーが、JFrogのソリューションを活用しデジタルトランスフォーメーションを安全かつ円滑に推進させています。詳細はhttps://jfrog.com/ja/をご覧ください。Twitterのフォローはこちらから:@jfrog_jp
・JFrogの名称、ロゴマークおよびすべてのJFrog製品の名称は、JFrog Ltd.の登録商標または商標です。
・その他、このプレスリリースに記載されている会社名および製品・サービス名は、各社の登録商標または商標です。
Cautionary Note About Forward-Looking Statements (将来の見通しと注意事項 – 以下英文)
This press release contains “forward-looking” statements, as that term is defined under the U.S. federal securities laws, including but not limited to statements regarding the Project Pyrsia and capabilities to analyze software packages for vulnerabilities and malicious code, our ability to meet customer needs, and our ability to drive market standards. These forward-looking statements are based on our current assumptions, expectations and beliefs and are subject to substantial risks, uncertainties, assumptions and changes in circumstances that may cause JFrog’s actual results, performance or achievements to differ materially from those expressed or implied in any forward-looking statement.
There are a significant number of factors that could cause actual results, performance or achievements, to differ materially from statements made in this press release, including but not limited to risks detailed in our filings with the Securities and Exchange Commission, including in our annual report on Form 10-K for the year ended December 31, 2021, our quarterly reports on Form 10-Q, and other filings and reports that we may file from time to time with the Securities and Exchange Commission. Forward-looking statements represent our beliefs and assumptions only as of the date of this press release. We disclaim any obligation to update forward-looking statements.