【機能リリース】Cloudbase Sensor、オンプレミス環境のアプリケーション層におけるSBOM収集に対応

このたび、Cloudbase Sensorの機能を拡張し、Node.jsアプリケーションにおける依存パッケージのスキャンおよびSBOM収集に対応したことをお知らせします。

近年、ソフトウェアサプライチェーンリスクへの関心が高まる中、企業にはOSレベルの脆弱性管理にとどまらず、アプリケーションが利用するオープンソースライブラリまで含めた可視化が求められています。

今回のアップデートにより、Cloudbaseはアプリケーション層まで監視対象を拡張し、クラウドおよびオンプレミス環境で稼働するNode.jsアプリケーションの脆弱性をより包括的に把握できるようになりました。

開発背景

これまでCloudbase Sensorは、OSレベルのパッケージに関する脆弱性情報を収集していました。

一方で、Webサービスやクラウドネイティブ開発で広く利用されているNode.jsは、多数の外部ライブラリに依存する構造を持ちます。こうしたアプリケーション層の依存関係は、OSとは別のリスク要因となるため、より詳細な可視化が求められていました。

今回の機能拡張では、Node.jsプロジェクトにおいて実際に利用されている依存パッケージを自動的に検出・収集し、SBOMとして管理できるようにしました。お客様のより安全な開発環境を共に創るため、今回の拡張を決定しております。

アップデート内容

Cloudbase Sensorはサーバー上のNode.jsアプリケーションを自動的に検出し、利用中のライブラリ情報を収集します。

収集される主な情報は以下の通りです。

• ライブラリ名

• バージョン

• ライセンス情報

• 配置場所

収集された情報はSBOMとして一覧表示され、該当ライブラリに関連する脆弱性情報もあわせて確認できます。

本機能の特長

パッケージ管理ツールに依存しない検出方式

package.jsonを直接解析するため、npm・yarn・pnpm 等のパッケージマネージャーの種類に依存しません。

実際に利用されているライブラリのみを可視化

ロックファイル（package-lock.json / yarn.lock 等）ではなく、実際にインストールされているパッケージのみを正確に収集します。

追加設定不要で利用可能

Sensorのアップデートのみで本機能が有効になります。

なお、今回のリリースはNode.jsへの対応となります。今後は他のプログラミング言語にも順次対応予定です。

期待される効果

本機能により、企業はOSレベルからアプリケーション層までを横断した脆弱性の一元管理が可能になります。

これにより、

• クラウドおよびオンプレミス環境におけるアプリケーションリスクの包括的把握

• SBOMを活用した継続的な脆弱性管理の高度化

• OSS利用状況の可視化によるガバナンス強化

が期待されます。

Cloudbaseは今後も、クラウド環境におけるリスクの可視化と継続的なセキュリティ運用を支援する機能拡充を進めてまいります。