サプライチェーンセキュリティのChainguard、Javaライブラリを安全に提供する「Chainguard Libraries」を発表

ソフトウェア開発において、オープンソースのライブラリ依存は避けられないものですが、信頼できない依存関係のリスクは年々増加しています。この課題に対し、ChainguardはJava向けの安全なライブラリ群「Chainguard Libraries」を発表しました。この製品は、安全なSLSAレベル2（SLSA L2）基盤上で、すべてのライブラリをソースコードから直接ビルドし、エンドツーエンドでの完全性を確保しています。

従来、Java開発者はMaven Centralのような公開レジストリを利用しており、2023年には1.5兆回以上のダウンロードがありました。しかし、これらのレジストリは開発者の利便性を優先し、セキュリティ検証が不十分なため、悪意のあるコードが紛れ込むリスクが高まりました。2024年だけでも70万件を超える悪質なパッケージが検出されており、SolarWinds事件など重大なサプライチェーン攻撃も頻発しています。

Chainguard Librariesは、これらの問題を解決するため、企業が安全にJavaライブラリを利用できる標準化された単一ソースを提供します。これにより開発者は悪意あるパッケージのリスクを回避できるほか、手作業によるパッケージの選別や煩雑なポリシー管理からも解放されます。ChainguardのCEOであるDan Lorenc氏は、「Chainguard Librariesを利用することで、企業はセキュリティを犠牲にすることなくソフトウェアの開発速度を高められる」と述べています。

IDCのアナリストKatie Norton氏も、ソフトウェアサプライチェーン攻撃が拡大する中、「Chainguard Librariesのようにソースコードから直接ビルドし完全性を保証する方法は、企業がセキュリティを強化しながら効率的な開発を可能にする」と評価しています。

Chainguardはこれまで、脆弱性がないコンテナイメージの提供で知られてきましたが、今回の新製品により、企業がJava依存関係を安全に利用できる環境を提供することで、ソフトウェア開発ライフサイクル全体をカバーするソリューションを展開しています。

Chainguardについて
Chainguardはソフトウェア開発およびデプロイメントにおけるサプライチェーンセキュリティを強化する企業です。ソースコードから直接ビルドされ、継続的に更新される安全なオープンソースソフトウェアを提供しており、Anduril、Canva、Checkmarx、HPE、GitLab、Snowflake、Wizなどの大手企業を顧客に持っています。Amplify、IVP、Lightspeed Venture Partners、Redpoint Ventures、Sequoia Capital、Spark Capitalなどから投資を受けています。