2021年末、Java開発でよく用いられるオープンソースソフトウェア(OSS)のロギングライブラリ「Apache Log4j」の脆弱性は非常に話題になりました。 本ワークショップでは、弊社ブログでご紹介した脆弱性スキャンを実際にハンズオンでお試しいただきます。
今回の題材はJava・Mavenを用いたシナリオを扱いますが、他の言語・パッケージマネージャや、Dockerなどのコンテナ技術に対しても活用いただけます。
OSSの脆弱性を狙った攻撃に対する対策にお役立てください!
■ 今回のハンズオンに関連する弊社ブログ
なお、ワークショップは定員に上限がありますのであらかじめご了承ください。
■ アジェンダ (変更となる可能性があります)
- JFrog Artifactoryにリポジトリを作成し、チェック対象のビルド結果(アーティファクト)を登録する
- SCAを行うJFrog Xrayを用い、チェック対象のビルド結果の脆弱性チェックを行う
- JFrog Xrayの設定を変更し、期待する結果が得られるよう調整する
■ 事前準備
事前準備は、できるだけ早めにご対応をお願いします。
事前準備が不安な方、躓いた方は当日30分前(10:00)からZOOMに入っていただけたらできる範囲でお手伝いします!
- JFrog SaaS (クラウド版) の無料アカウントを作成し、ログインできるようにしておいてください。使用するクラウドベンダーはお好きなもので構いません。SSOでのログインも可能ですが、パスワードの設定をしておいてください。
- JavaおよびMavenの実行環境をご用意ください。以下は、講師の利用予定のバージョンです。
- Java (JDK) 17.0.3
- Maven 3.8.5
- GitとGitHubが使えるようにしておいてください。
- JFrog CLI (v2) を以下のサイトを参照し、あらかじめPCにインストールしてください。
- お好みのテキストエディタをご用意ください。
- お使いの環境によっては100%サポートしきれないこともあります。ご了承ください。
ローカル環境のセットアップができたか不安な方は、ターミナルで次の2つのコマンドを実行し、期待通りの結果が得られることを確認しておいてください
- java --version を実行する→java導入の確認としてバージョン表示させる
- mvn --version を実行する→Maven導入の確認としてバージョン表示させる
- jfrog --version を実行する→JFrog CLI導入の確認しとてバージョン表示させる