Javaで書いた4行のコード、依存関係をたどると51万行に――超複雑化するソフトウェア構成、SBOMで探るには

＠IT編集部は2022年8月22日、デジタルイベント「＠IT ソフトウェア品質向上セミナー」を開催した。基調講演では、「SBOMによるサプライチェーン攻撃対策～自社ソフトウェアのリスク、把握していますか？～」と題して、JFrog Japanの横田紋奈氏（デベロッパーアドボケイト兼Java女子部・JJUG運営）が、企業におけるオープンソースソフトウェア（OSS）の使用に潜むリスクにはどのようなものがあり、それにどう対処していけばよいかについて解説した。 ソフトウェアのセキュリティで注目されるソフトウェアサプライチェーン攻撃 SBOMとソフトウェアサプライチェーンの話題の前に、横田氏はDevSecOpsとは何かから話を始めた。DevOpsは、開発者と運用者が協力してサービスを改善していくもの。ユーザーからのフィードバックなどを受けて取り組みを繰り返し、改善を継続する。そのための考え方であり、組

[otchy210]

Java には Guava とか Apache Commons とかあるからまだいいけど、npm が酷い。超簡単な軽量ユーティリティが何百万も依存されてるから、colors 事件みたいのが起こる。あれ以来、簡単なユーティリティは自作するようになった。

[strawberryhunter]

ライブラリを使いこなすのがクール、みたいな風潮があるからこんなことになっている。

[poad1010]

行数による規模計測って、特にJavaみたいな言語に合うのか？という疑問…… class 構文だけでも2行になるだろうし、C言語やのような COBOL 言語の行数による規模感とは大きく違うと思うんだけどな。 依存関係を辿ったらと

[remonoil]

> ”全て”の変更履歴を要求 全パッケージの全コミットログを送り付けてやれ 「どうだい変更履歴だよ？」

[Syunpei]

この記事をおすすめしました

[ryunosinfx]

客がこの”全て”の変更履歴を要求してきたら悪夢だな・・・「構成管理してるんでしょ？！」

[maninthemiddle]

もう人力で依存パッケージの脆弱性追うの無理だから全社的にGihubのDependabot使うようにしたよ

[deep_one]

ライブラリがでかすぎる問題…