著者:Studio Linux Servicesディレクター、Seth Cramer
ウインドリバーのライフサイクルセキュリティサービスにより、既存のLinuxプラットフォームのセキュリティを確保
ソフトウェアのメンテナンス、普段、イノベーションと最先端技術に注力している開発チームにとっても、脆弱性の特定と修正は重要なタスクです。
多くの開発チームがソフトウェアのメンテナンス作業を後回しにしているのは、驚くことではありません。なぜなら、彼らは新しい機能を作成してデプロイするというプレッシャーにさらされており、また、イノベーションに集中したいと考えているため、メンテナンスの作業は後回しにするしかありません。
しかし、ソフトウェアメンテナンスは後回しにして放っておけるものではありません。怪物のように成長し、腐敗していくのです。新たな脆弱性が出現し、技術的負債が蓄積され、改善されないセキュリティ問題は、最終的にコンプライアンス、エンドユーザとのサービスレベル契約(SLA)、システムやデバイスに新しいソフトウェアを予定通りにでデプロイする能力にまで影響を及ぼす可能性があります。
そのような場合に、既存のソフトウェアのメンテナンスを、開発チームが簡単に後回しにできる方法があります。
それはWind River Studio Linux Servicesを使うことです。Wind River Studio Linux Servicesは、既存のLinuxやYocto プロジェクトプラットフォームのフルライフサイクルセキュリティを提供します。
ウインドリバーのお客様の最新の事例では、Wind River Studio Linux Servicesがセキュリティの脆弱性を迅速に特定して修正する一方で、コスト削減、技術的な遅れの追従、イノベーションを可能にしました。
世界でネットワーク分野をリードするある会社では、イノベーションに重点を置いていたため、Linux プラットフォームの定期的なメンテナンスが後回しになり、関連するすべての重要なセキュリティリスクを迅速に見つけて修正しない限り、新しいソフトウェアのリリースが困難になっていました。
この会社は、ウインドリバーの以下の重要なサービスを含む、ライフサイクルセキュリティサービスを活用しました。
・ CVE の特定:CVEスキャンツールであるWind River Studio セキュリティスキャンにより、既存のLinuxプラットフォーム上の1500以上のCVEが特定され、そのうち80以上が重要なものであることが分かりました。SBOMやマニフェストの無料セキュリティスキャンが提供されています。
・ CVE の優先順位付け:CVEの影響を分析し、エンジニアと協力して、早急な対応が必要な脆弱性の優先順位を決定しました。
・ セキュリティライフサイクルマネージメント:CVEを修復し、プラットフォームが安定した後、継続的なメンテナンスと管理を提供します。
・ お客様のハードウェア上での品質チェックとテスト:4時間ビルドを行える環境で、OSプラットフォームとBSPの継続的で高品質な修正を保証します。
・ 追跡とレポート:Wind River Studio Linux Servicesは、脆弱性の修正と進捗状況を追跡するためのオンラインリリースダッシュボードとレポート、リリースで修正された 共通脆弱性識別子(CVE)、不具合を把握するためのリリースノートと成果物も提供しました。
結論:後回しにしているソフトウェアメンテナンスは、もはや開発チームを悩ませたり、技術革新の妨げになったりすることはありません。Wind River Studio セキュリティ・ライフサイクル・アシュアランスサービスを使用してCVEの特定、優先順位付け、修正を行うことで、自社で行うよりもはるかに迅速でコスト効率の良い作業が可能になります。
また、ウインドリバーの不具合の修正は、すでに複数のプラットフォームで検証されているため、エンドユーザーが望むプラットフォームへの迅速なデプロイが可能なため、SLAの未達やペナルティを防ぐことができます。
ケーススタディの全文はこちらからご覧いください。