yamoryの導入で脆弱性管理工数を月35人日も削減することに成功

yamory導入前は、OSSの管理を手動で行っていたため、それらの管理をするのにかなり手間がかかっていました。

また、開発チームから提出された、それぞれの製品で利用しているOSSのリストをもとに、PSIRTが定期的に脆弱性が公表されていないか確認を行っていたため、脆弱性情報が公表されたあと迅速に脆弱性の連絡が行えないことも課題の一つでした。

そのため、開発チームが利用しているOSSを漏れなくダブりなく列挙できること、また利用しているOSSの脆弱性情報を可能な限り早期に把握できるようにすることを目指して導入検討がスタートしました。

yamory導入の決め手は、使い勝手の良さや、PSIRTの業務の一部を減らせる見込みが立ったためです。
また、様々なパッケージ管理システムに対応していることや、CIへの組み込みやすさ、SAMLでのSSOに対応していることなども決め手となりました。

PSIRTでのOSSの脆弱性管理工数を月35人日ほど削減できました。
また、脆弱性情報が発覚した際、すぐに開発者に通知が送信されるため、脆弱性を認識するまでの時間も短くなったものと思われます。さらに、利用中のOSSにゼロデイが発覚した際、どのチームがそのOSSを利用しているかの把握が容易に行えるようになりました。

さらに、以前は開発チームから利用OSSの情報提出を行っていましたが、yamoryを導入したチームでは提出が不要になったため、開発チームでの管理工数も減ったと思われます。

導入にあたって、開発チームにこれまでやっていたこととは違うことをやってもらう必要があったので、最初の説明が少し大変でした。とはいえ、yamoryの導入自体には開発チームにもメリットがある内容だったのと、yamoryのマニュアルが充実していたこともあり、スムーズに導入できました。

また実際の各チームへの導入・活用推進では、まずはyamoryのメリットや使い方を説明し、使いたいと手を上げてくれたチームにアカウントを配布していきました。利用を開始した開発チーム内でメリットが認知されると、徐々にほかのチームでも利用したいとの声が上がるようになりました。

yamoryは、OSSに関連するリスクや管理の手間を低減するのに大いに役立つツールだと思います。

・利用しているOSSの管理、およびOSSの脆弱性管理
・脆弱性対応の優先順位付け
・EOLやライセンスの確認

に課題感を感じている、改善していきたいと思っている組織には是非導入をおすすめしたいです。

また、SPDXやCycloneDXといったメジャーなフォーマットでSBOMを入出力する機能も追加されていますので、SBOM対応を検討されている組織でも利用するメリットがあると思います。