SDLC全体の
オープンソースリスクを

検出、優先順位付け、修復

開発者が最初からセキュリティとコンプライアンスの問題を発見して修正できるようにする
試用版を開始する

JFrog Xrayについて

JFrog Xrayは、簡単な方法で、オープンソースソフトウェア (OSS) およびサードパーティコンポーネントのセキュリティ脆弱性とライセンスコンプライアンスの問題を特定、優先順位付け、修復できるエンタープライズグレードのソフトウェア構成分析 (SCA) ツールです。

お問い合わせ

早期検出と
迅速な修復

開発サイクル全体でリポジトリ、ビルドパッケージ、およびコンテナイメージの継続的スキャンを実行することで、オープンソースパッケージとバイナリの脆弱性を簡単に特定、優先順位付け、修復できます。セキュリティの脅威を早期に検出して、リスクを軽減し、修正を迅速化し、コストを削減

開発者の生産性とエクスペリエンス

開発者ツールとシームレスに統合することで、ビルド時間への影響を最小限に抑えながら、効率的で自動化されたコードの保護を実現します。IDE/CLIで直接、脆弱性のある依存関係と修復オプションやコンテキストを表示できます。JFrogのCLIツールを使用してパイプラインを自動化し、依存関係とコンテナのスキャンとオンデマンドのスキャンを行います。

大規模な
ライセンスコンプライアンス

自動的に生成されるソフトウェア部品表 (SBOM) により、直接的および間接的な依存関係を完全に可視化できます。オープンソースライセンスの問題が本番環境で顕在化する前に検出して解決し、規制を適用するポリシーを簡単に作成して、すべてのOSSライセンスのコンプライアンスレポートを生成できます。

運用リスク
管理

OSSコンポーネントに関する追加データにアクセスして、運用リスクを評価できます。バージョンの経過期間、関係者の数、メンテナンスの頻度、コミットの数、サポート終了などのリスク要因に基づいてパッケージをブロックするカスタムポリシーを作成します。

JFrogセキュリティ調査チームによる
CVEの研究と強化

JFrogの専任のセキュリティリサーチチームによる詳細なCVE調査結果と脆弱性データを活用して、セキュリティ体制を積極的に推進します。実際のリスクをより深く理解し、注目度の高いCVEに優先順位を付け、効果的なリソース割り当てにより修復を加速します。

お客様がJFrog Xrayを信頼する理由

「ほとんどの大企業には複数の拠点があり、それらすべてにわたる認証と権限の効率的な管理を実現することが重要です。JFrog Enterprise+では理想的なセットアップを実現できるため、最初から厳しい要件を満たすことができます。Access Federationなどの高度な機能により、事業所間でユーザー、アクセス許可、グループを同期させて、オーバーヘッドを減らすことができます。」
Siva Mandadi
DevOps - Mercedes、Autonomous Driving部門
「JFrog Enterprise+は、開発者の生産性を向上させ、フラストレーションを解消します。JFrog Distributionは、基本的にはCDNオンプレミスであり、ソフトウェアを信頼性の高い方法で遠隔にある事業所に配信できます。一方、JFrog Access Federationを使用すると、認証情報、アクセス、グループメンバーを事業所間で簡単に共有できます。」
Artem Semenov
Align Technology
DevOps and Tooling部門シニアマネージャー
「15か月のサイクルではなく、リクエストに応じて事実上すぐにリリースできるようになりました。」
Martin Eggenberger
Monster
チーフアーキテクト
「DevOpsエンジニアとしての長年の経験で、企業のインベントリにある膨大な種類の(レガシーと新規)のパッケージを追跡することが、いかに難しいかを知っています。JFrogは、当社のチームをサポートし、効率的で運用し続けるために、常に驚異的な仕事をしてきました。JFrogの出番により、チームは帰宅することさえできるのですから。うれしいことに、AWSのインフラストラクチャもサポートしているため、現在そして将来に向け、ビジネスの需要がある場所であればどこでも自信を持って開発および配信できると確信しています。」
Joel Vasallo
Redbox
Cloud DevOps部門責任者
「log4jでこの問題が発生したとき、金曜日の午後に発表を行い、月曜日の正午までに(JFrogを使用して)すべての都市にパッチを配布しました。」
Hanno Walischewski
Yunex Traffic
チーフシステムアーキテクト
「この危殆化から学んだ教訓の一つは、一般に、インターネットからダウンロードした依存関係を使ってビルドする場合は、依存関係をビルドに持ち込む前に必ずスキャンツールで検証するようにシステムを配置する必要があるということです。そのようにできるよう、ステージング、本番、またはオンプレミスリリースにバインドされたソフトウェアアーティファクトの唯一の有効なソースである依存関係をホストするのに、クラウドサービスではなくJFrog® Artifactory®のインスタンスを使用しています。」
安全なソフトウェア開発の新たな基準を打ち立てる:
SolarWinds次世代ビルドシステム
SolarWinds
「Artifactoryに移行して以来、私たちのチームはメンテナンスの負担を大幅に軽減できました...私たちは以前よりも進歩し、より徹底したDevOps組織になることができています。」
Stefan Krause
Workiva、
ソフトウェアエンジニア
「世界中の30万人以上のユーザーがPRTGを利用して、さまざまな規模のネットワークの重要な部分を監視しています。そのため、ソフトウェア自体だけでなく、その周りのセキュリティおよびリリースプロセスも開発および強化することが私たちの責任となっています。JFrogは、これを最も効率的な方法で行うのに役立っています。」
Konstantin Wolff
Paessler AG、
インフラストラクチャエンジニア
「JFrog Connectは私にとって、エッジIoTインテグレーションをより迅速に導入し、より大規模に管理するためのスケーリングツールです。VPNやファイアウォールの要件が異なるさまざまな顧客サイトに接続する際の手動の介入が、1回限りと少なくなります。」
Ben Fussell
Ndustrial、
システムインテグレーションエンジニア
「ほとんどの大企業には複数の拠点があり、それらすべてにわたる認証と権限の効率的な管理を実現することが重要です。JFrog Enterprise+では理想的なセットアップを実現できるため、最初から厳しい要件を満たすことができます。Access Federationなどの高度な機能により、事業所間でユーザー、アクセス許可、グループを同期させて、オーバーヘッドを減らすことができます。」
Siva Mandadi
DevOps - Mercedes、Autonomous Driving部門
「JFrog Enterprise+は、開発者の生産性を向上させ、フラストレーションを解消します。JFrog Distributionは、基本的にはCDNオンプレミスであり、ソフトウェアを信頼性の高い方法で遠隔にある事業所に配信できます。一方、JFrog Access Federationを使用すると、認証情報、アクセス、グループメンバーを事業所間で簡単に共有できます。」
Artem Semenov
Align Technology
DevOps and Tooling部門シニアマネージャー
「15か月のサイクルではなく、リクエストに応じて事実上すぐにリリースできるようになりました。」
Martin Eggenberger
Monster
チーフアーキテクト
「DevOpsエンジニアとしての長年の経験で、企業のインベントリにある膨大な種類の(レガシーと新規)のパッケージを追跡することが、いかに難しいかを知っています。JFrogは、当社のチームをサポートし、効率的で運用し続けるために、常に驚異的な仕事をしてきました。JFrogの出番により、チームは帰宅することさえできるのですから。うれしいことに、AWSのインフラストラクチャもサポートしているため、現在そして将来に向け、ビジネスの需要がある場所であればどこでも自信を持って開発および配信できると確信しています。」
Joel Vasallo
Redbox
Cloud DevOps部門責任者
「log4jでこの問題が発生したとき、金曜日の午後に発表を行い、月曜日の正午までに(JFrogを使用して)すべての都市にパッチを配布しました。」
Hanno Walischewski
Yunex Traffic
チーフシステムアーキテクト
「この危殆化から学んだ教訓の一つは、一般に、インターネットからダウンロードした依存関係を使ってビルドする場合は、依存関係をビルドに持ち込む前に必ずスキャンツールで検証するようにシステムを配置する必要があるということです。そのようにできるよう、ステージング、本番、またはオンプレミスリリースにバインドされたソフトウェアアーティファクトの唯一の有効なソースである依存関係をホストするのに、クラウドサービスではなくJFrog® Artifactory®のインスタンスを使用しています。」
安全なソフトウェア開発の新たな基準を打ち立てる:
SolarWinds次世代ビルドシステム
SolarWinds
「Artifactoryに移行して以来、私たちのチームはメンテナンスの負担を大幅に軽減できました...私たちは以前よりも進歩し、より徹底したDevOps組織になることができています。」
Stefan Krause
Workiva、
ソフトウェアエンジニア
「世界中の30万人以上のユーザーがPRTGを利用して、さまざまな規模のネットワークの重要な部分を監視しています。そのため、ソフトウェア自体だけでなく、その周りのセキュリティおよびリリースプロセスも開発および強化することが私たちの責任となっています。JFrogは、これを最も効率的な方法で行うのに役立っています。」
Konstantin Wolff
Paessler AG、
インフラストラクチャエンジニア
「JFrog Connectは私にとって、エッジIoTインテグレーションをより迅速に導入し、より大規模に管理するためのスケーリングツールです。VPNやファイアウォールの要件が異なるさまざまな顧客サイトに接続する際の手動の介入が、1回限りと少なくなります。」
Ben Fussell
Ndustrial、
システムインテグレーションエンジニア

JFrog Platformでソフトウェアサプライチェーンを
上流から下流までセキュリティを確保

ソフトウェアパッケージとMLモデルのシームレスなキュレーション

詳しく見る

サプライチェーンのエクスポージャースキャンと影響分析

詳しく見る

ランタイムの脆弱性をリアルタイムで把握

詳しく見る

ソースコードとバイナリスキャンの
セキュリティ強化

JFrog Advanced Securityを使用すると、開発チームはコーディングしながらスキャンすることができ、DevOpsチームとセキュリティチームはバイナリのセキュリティゲートキーパーを管理して設定することができます。すべてのチームはJFrogの高度なスキャナー機能を使用して、効率的に優先順位を付け、セキュリティノイズを減らすことができます。

Advanced Securityの詳細はこちら

Driven By Dedicated Research

JFrogのセキュリティ研究チームは20人以上の認定エンジニアで構成され、ソフトウェアサプライチェーンのセキュリティに関する先駆的な研究を行っています。新しいOSSの脆弱性を発見して公開し、新しい攻撃方法を分析し、OSSツールを通じてコミュニティやお客様に迅速なサポートを提供しています。

2,000+

悪意のあるパッケージ
を公開

1700+

適用性スキャナー

20+

OSSツール
リリース

140+

発見された
脆弱性

Calculate Your Savings

セキュリティに関するその他のリソース

ソリューション シート
JFrogセキュリティの究極ガイド
詳しく見る
セキュリティ調査レポート
オープンソースセキュリティの上位脆弱性の詳細分析
レポートを読む
ウェビナー
Xray Essentials & Advanced Securityによるソフトウェアサプライチェーンのセキュリティ
今すぐ視聴する
ブログ
IDEに適用可能な脆弱な依存関係のみを修正して時間を節約
詳しく見る
Git OSSスキャンツール
Frogbot - JFrog Security Git Bot
詳しく見る
セキュリティ研究ブログ
シフトレフトしながらセキュリティの体制を拡張して改善します。
詳しく見る

Frequently Asked Questions

Yes, Xray is a core component of the JFrog Platform, just like Artifactory. This seamless integration allows Xray to work hand in hand with Artifactory, sharing extensive metadata between both products. As a result, you not only gain deep insights into security issues but also understand their full scope, enabling more effective risk assessment and remediation.

You have Xray if your SaaS (Cloud) or Self-Hosted subscription is Pro X, Enterprise X or Enterprise+.

Xray supports over 25 package types and technologies, including popular ones like Docker, Maven, PyPI, npm, and NuGet. Just like Artifactory, Xray is universal and highly versatile, allowing you to store all these different package types in one place. More importantly, it enables you to scan your builds, containers, and stored artifacts, identifying potential security risks and vulnerabilities arising from open-source dependencies.

Yes, Xray performs deep, recursive scans to analyze all layers of an image, identifying every component within each layer. This provides a comprehensive list of all dependencies in use. Additionally, it allows you to detect any components that may violate existing policy conditions, ensuring compliance and security.

Yes, Xray can scan both your images and built artifacts as they are uploaded to Artifactory. Additionally, it captures metadata from the build process (build info), which can be published back to the JFrog Platform for further analysis. By scanning directly from the build info, you gain complete visibility into all dependencies involved in a specific build, helping you assess potential security risks and ensure compliance.

Xray’s shift-left approach seamlessly integrates with all major IDEs commonly used by developers today. It offers plugins for VS Code, IntelliJ, Visual Studio, PyCharm, and more, enabling early detection of security vulnerabilities and compliance issues directly within the development environment.

Yes, Xray fully supports multiple policies, and many of our customers utilize this capability to enforce security and compliance across their repositories. Policies can be applied to multiple repositories, ensuring comprehensive coverage of critical assets. By setting up policies in advance, Xray proactively identifies and highlights issues as they arise, helping you maintain security and compliance effortlessly.

Yes, just as Artifactory seamlessly integrates with CI servers like GitHub, Jenkins, and Azure, Xray can be incorporated into your CI/CD pipelines as well. By adding Xray scans as a step in your pipeline scripts, you can automatically detect security vulnerabilities and compliance issues early in the development cycle, ensuring a more secure and reliable software delivery process.

Yes, updates happen automatically, typically once a day. However, in the event of a security incident, we accelerate updates, rolling out updates as frequently as needed. As we gather more insights about the incident, we ensure our users receive the latest threat intelligence in real time, keeping them equipped to respond effectively to emerging security risks.

Yes, JFrog Xray is highly available, ensuring your SCA scans always occur. This is essential to keep your pipelines flowing and software secure. When leveraged as part of JFrog’s SaaS offering, Xray is available with an industry leading 99.99% uptime SLA. If self-managing the JFrog Platform the Xray can be deployed in high availability clusters.

信頼性の高いソフトウェアのリリースを
迅速かつ大規模に提供

製品ツアーを開始 お問い合わせ