Anaconda のビジネス、エンタープライズプランが拡張されたセキュリティツール群を提供
Anacondaは、Anaconda Server 6.5.0のリリースを発表しました。conda-forge CVE関連付け、監査ログ、署名情報などのセキュリティ強化をAnacondaのビジネスプランおよびエンタープライズプランに導入します。
Anacondaのビジネスプランとは?
Anacondaのビジネスプランは、セキュリティチームがデータサイエンスのワークフローを妨げることなく、組織全体のセキュリティポリシーを実施することができます。データ実務者は、好みのパッケージが組織のセキュリティ要件を満たしている確信をもって、迅速にモデルを開発および展開できます。IT管理者は、ロールベースのアクセス制御を使用してチャネル間で権限を管理し、セキュリティリーダーはライセンスおよびパッケージフィルタリングによりエンタープライズグレードのポリシーを積極的に実装できます。
Anacondaサーバーとは?
Anaconda Serverは、Anacondaのビジネスプラン(およびそれ以上)のオンプレミスおよび管理されたホスティング展開に含まれるオンプレミスリポジトリです。 Anaconda Serverを使用すると、組織のプロジェクトを一元管理し、オープンソースパッケージおよびライブラリを保護し、脆弱性を管理して、オンプレミスまたはクラウド上にホストされるプライベートリポジトリで管理できます。
新機能
Anacondaは、OSS(オープンソース・ソフトウェア)セキュリティの実践を強化するために、防御レイヤーを継続的に追加しています。最新バージョンのAnaconda Server 6.5.0には、次のものが含まれています。
- 脆弱性レポート:ソフトウェアのリスクを監視します。 Anacondaの強化された脆弱性レポート機能は、Pythonパッケージのセキュリティ脆弱性に関する包括的な情報を提供します。この機能により、積極的な脆弱性管理が可能になり、潜在的なリスクを軽減することができます。
- ユーザーアーティファクトレポート:アクティビティを監視し、脆弱性に先んじます。 IT管理者は、Anacondaのアーティファクトレポートを使用して、ユーザーアクティビティをより簡単に監視および追跡し、コンプライアンスを確保し、脆弱性管理を促進できます。これにより、透明性、説明責任、およびセキュリティが向上し、特に規制が厳しいエンタープライズ環境に利点がもたらされます。ユーザー操作を手動で追跡したり、不完全なログに依存したりする代替手段とは異なり、アーティファクトレポートはユーザーインタラクションの包括的かつ信頼性の高い記録であり、管理者が効果的に制御およびコンプライアンス要件を満たすことができます。
- 署名付きパッケージ:パッケージ署名の有効性を保証します。署名情報は、Anacondaのキュレートされたリポジトリから取得されるパッケージ用のチャネルで利用可能です。この機能は、ダウンロードしたパッケージの整合性を確保することができるユーザーによって、セキュリティのレイヤーが追加されます。
- CVEメタデータ:パッケージ脆弱性に関する詳細情報を入手します。 Anacondaには現在CVEメタデータが含まれており、パッケージに関連する特定の脆弱性に関する包括的な情報が提供されます。このメタデータにより、セキュリティ更新をより迅速かつ正確に評価し、優先順位付けすることができます。
- Conda-forge CVE関連付け:セキュリティリスクをより迅速に特定および軽減します。この機能は、安全なリポジトリにミラーされたconda-forgeパッケージに関連付けられたCVEを特定する方法を提供します。 アメリカ国立標準技術研究所(NIST)に報告されたCVEを確認し、conda-forgeチャネルにポリシーを追加して脆弱なパッケージをフィルタリングすることができます。この新しい機能により、Pythonオープンソースプロジェクトのセキュリティリスクをより迅速に特定し、軽減することができます。