CloudBees社、強化されたCloudBees Coreをリリース、DOD準拠のセキュアなソフトウェアデリバリープラクティスを可能に

新バージョンの CloudBees CIソリューションは、アメリカ合衆国国防総省（DoD)の厳しい基準を満たします。

カリフォルニア州サンノゼ 2020年6月9日、エンタープライズソフトウェアデリバリーの会社であるCloudBees, Inc.は、業界を主導する継続的インテグレーション（CI)ソリューション CloudBees Coreの強化されたバージョンを発表しました。新バージョンは、世界でも最も厳しいセキュリティ認証であるアメリカ合衆国国防総省（DoD)のセキュリティ要件を満たします。CloudBees Coreの新しいリリースはただちに利用可能であり、DoDおよびアメリカ連邦政府に属する民間機関、さらには民間企業も、セキュリティリスクを軽減しながらソフトウェアデリバリーパイプラインを通じて価値を生み出すことができます。

期間内にミッションを完遂しなければならないというプレッシャーにさらされている連邦政府の民間機関は、パイプラインを自動化して新規アプリケーションの構築を加速し、既存のアプリケーションに緊急に必要な機能を追加できるようにしようとしています。しかし、CIツールに対して高度なセキュリティ認証への適合を要求する情報保証ガイドラインが制約になっています。強化されたCloudBees Core は、アメリカ空軍 Platform OneチームからCertificate to Field (CtF)を取得済みのコンテナーを提供します。Platform OneはDoDの公式DevSecOps エンタープライズサービスチームです。

CtFはアメリカ空軍 Platform Oneチームから与えられる正式な認証です。CtFを与えられたソフトウェアコンテナーは、Authority to Operate (ATO)を与えられた特定の環境内でプラットフォームをデプロイするのに利用できます。ATO認証は、そのプラットフォームがDISA STIG および NIST RMFガイドラインで定められたセキュリティ基準を満たしていることを表します。Platform Oneは、CtFを持つコンテナー化されたソフトウェアだけを使用できる認証済みのプラットフォームを提供しています。

「CloudBees CoreはCtFを取得しているので、DoDの機関でも、民間機関や連邦政府システムインテグレーター(FSI）でもすぐに利用できます」とCloudBeesの連邦政府セクターのディレクターMichael Wrightは言います。「CIのあらゆる利点をJenkins環境で提供し、セキュリティとコンプライアンスに関する政府の厳しい基準を満たします」

CloudBees Coreは、世界で最も広く利用されている自動化サーバーであるJenkinsを基にしています。CloudBees Coreは柔軟で統制の取れたCIを提供し、オンプレミスにも、パブリッククラウドにも、ハイブリッド環境にもホストできます。そのため、ソフトウェア開発ツールを中央で管理し、ソフトウェアデリバリーを最大限に加速し、開発チームの効率を最大化し、グローバルなコンプライアンスポリシーを適用することが可能になります。

「国防総省はソフトウェアデリバリーを最優先事項に位置づけています。CloudBeesなどのDevSecOpsベンダーは、DoD標準の認証を受け、国防総省のエンタープライズDevSecOpsイニシアチブのミッションをサポートします」と空軍チーフソフトウェアオフィサー兼DoD エンタープライズ DevSecOps イニシアチブの共同リードであるNicolas Chaillanは言います。「このイニシアチブの目的は、DoDプログラムのアジャイルおよびDevSecOpsへの移行を支援することです。軍全体でDevSecOps能力とベストプラクティスを確立し、継続的ATOプロセスを推進するとともに、技術の導入をより速く、より効率化したいと考えています」

CloudBees Coreは強化されたDockerコンテナーイメージを提供します。このコンテナーは、DoDが管理するストレージディレクトリである国防総省中央成果物リポジトリ（DCAR)に置かれます。DoDまたは民間機関のチームは、DCARにアクセスし、強化されたDockerコンテナーイメージを簡単にプルできます。ソリューションは既知のセキュリティ脆弱性を持つライブラリまたはコンポーネントの使用を最小限にするよう設計されています。たとえば、CloudBees Coreのマスターとエージェントの間でHTTP通信を行うライブラリを使用する場合、CloudBees Coreに組み込まれた機能によって、マスターとエージェントの両方でセキュアなポートとプロトコルが確実に使用されます。

強化された新しいCloudBees Coreは、政府機関がセキュアなDevSecOpsプロセスへの転換を果たすのに役立つだけでなく、法規制の厳しい業界の企業や、純粋にセキュリティを高めたいと考えている企業にとっても役に立ちます。

その他のリソース

• CloudBees Core の無料トライアルを試す
• CloudBees Coreについて知る
• 空軍チーフソフトウェアオフィサーNicolas ChaillanとのDevOps Radioポッドキャストを聴く
• ブログを読む: Orchestrating DevSecOps: Security at Speed
• ブログを読む: How DevSecOps Helps the Federal Government Achieve Continuous ATO
• 政府機関でのCloudBeesの活用について知る

（この記事は、2020年6月9日の CloudBees社 プレスリリース 「CloudBees Releases Hardened CloudBees CI to Enable Secure, DOD-Compliant Software Delivery Practices」 の翻訳です）