Endor Labs 統合に関する一般的な質問への回答を参照します。
Endor Labs を構成するにはどうすればよいですか?
Endor Labs は、ソース コード管理環境に応じて、リポジトリやパイプライン全体にさまざまな方法で展開できます。 最初の可視性を得るためにスキャンの監視から始めて、次に CI スキャンに進み、包括的で実用的な結果を得ることをお勧めします。
GitHub 環境用に Endor Labs を構成するにはどうすればよいですか?
Endor Labs は、Endor GitHub アプリを介して GitHub の継続的な監視を提供します。 このアプリは、24 時間ごとにすべてのリポジトリを複製してスキャンすることで、GitHub 組織を広範囲に可視化します。
注
リポジトリはスキャン中にのみ一時的に複製され、保持されます。 GitHub の継続的な監視の設定の詳細については Endor Labs のドキュメントを参照してください。
GitHub ワークフロー用に Endor Labs を構成するにはどうすればよいですか?
お客様は、Endor Labs アクションを使用して GitHub ワークフローと統合できます。 ワークフロー スキャンは、チームが最も実用的な結果に集中し、時間を最適化するのに役立ちます。 これらのスキャンは、自動化された GitHub ワークフローからトリガーされ、ターゲット ブランチのベースラインと比較して新しい脆弱性を特定できます。 Endor Labs アクションの設定の詳細については Endor Labs のドキュメントを参照してください。
Azure DevOps 環境用に Endor Labs を構成するにはどうすればよいですか?
Endor Labs を Azure Pipelines に実装して、ビルド時に脆弱性をスキャンできます。 これらのスキャンの結果は、開発者の可視性のために Advanced Security に送信することもできます。 Azure Pipelines 統合の設定の詳細については Endor Labs のドキュメントを参照してください。
GitLab 環境用に Endor Labs を構成するにはどうすればよいですか?
Endor Labs は、脆弱性をチェックするためにコードがビルドされた後、GitLab CI パイプラインの実行中にスキャンできます。 GitLab CI パイプライン統合の設定の詳細については、Endor Labs のドキュメントを参照してください
Endor Labs スキャンの結果を表示するにはどうすればよいですか?
Endor Labs の到達可能性分析結果は、クラウド セキュリティ エクスプローラーや攻撃パス分析などの既存の Defender クラウド セキュリティ態勢管理 (CSPM) エクスペリエンスとネイティブに統合されています。
Endor Labs はどのプログラミング言語をサポートしていますか?
Endor Labs では、Java、Python、C# など、到達可能性分析のためのさまざまな言語がサポートされています。 最新のサポートされている言語の一覧については、Endor Labs のドキュメントを参照してください。 Endor Labs の検出結果は、対応するリポジトリが Defender for Cloud にも接続されている場合にのみ表示されます。
到達可能性のさまざまなレベルにはどのような意味がありますか?
Defender for Cloud は、関数レベルおよび依存関係レベルでの脆弱性の到達可能性に関連する検出結果属性を Endor Labs から取り込みます。 関数レベルの到達可能性分析は、組織のアプリケーションのコンテキストで悪用可能性を判断する最も正確な方法であり、修復する必要があるリスクを判断するために重要です。 さまざまな関数の到達可能性ラベルには、次のものがあります。
- 到達可能な関数: Endor Labs は、開発者が作成したコードから脆弱な関数のパスが存在することを確認しました。これは、この検出が顧客の環境で悪用可能であることを意味します。 これは、ソース コードと脆弱なライブラリの間の各ステップを示す "コールグラフ" によって示されます。
- 到達不能な関数: Endor Labs は、ソース コードと脆弱な関数の間にパスがないため、悪用のリスクはないと判断しました。 検出結果には、パスがないことを示す "コールグラフ" が付随します。 到達不能な検出結果は誤検知と見なされ、FedRAMP などのコンプライアンス標準に基づいて修復する必要はありません。
- 到達可能な可能性のある関数: Endor Labs は検出結果が到達可能か到達不能かを判断できません。これは、通常、特定の言語またはパッケージ マネージャーで "コール グラフ" 分析がサポートされていないためです。 Endor Labs では、インポートされたパッケージがアプリケーションで使用されているかどうかも確認されますが、ソース コードによって脆弱なパッケージが呼び出されたかどうかは表示されません。 これには、次のさまざまなラベルがあります。
- 到達可能な依存関係: Endor Labs は、インポートされたパッケージがアプリケーション内のどこかで使用されていることを確認しました。
- 到達不能な依存関係: Endor Labs は、インポートされた依存関係が使用されていないと判断しました。 顧客はこの情報を使用して依存関係を削除でき、技術的負債削減のイニシアティブに役立ちます。
- 到達可能な可能性のある依存関係: Endor Labs は依存関係が使用されているかどうかを明確に判断できません。これは、一般に、特定の言語またはパッケージ マネージャーがサポートされていないためです。
注
"到達可能性分析" には、さまざまな意味があります。 詳細については、「Five Types of Reachability Analysis (and Which is Right for You) (5 つの到達可能性分析の種類 (および適切な方法))」を参照してください。
Endor Labs のライセンスはどのように付与されますか?
Endor Labs は、貢献する開発者ごとにライセンスが付与されます。 Endor Labs の価格オプションに関するページを確認してください。 Defender for Cloud の到達可能性分析には、次の 2 つの適用可能なプランがあります。
- Endor Supply Chain: オープンソースの依存関係管理、CI/CD セキュリティ、コンプライアンスのための単一プラットフォーム。
- Endor Open Source - Core Edition: 高度なソフトウェア コンポジション分析 (SCA) と、SBOM 機能 (到達可能性を備えた SCA、Endor スコア要素、AI 支援 OSS 選択、DroidGPT、SBOM/VEX 生成を含む)。
追加の修復機能を必要とする顧客は、Pro Edition にアップグレードできます。これには、アップグレードによる影響分析、コンテナーのスキャン、成果物の署名が含まれます。
Endor Labs は Azure コマーシャル マーケットプレースで利用できますか?
はい。Endor Labs は、Microsoft コマーシャル マーケットプレースで購入できます。 マーケットプレースに表示されている価格は、お客様の組織が支払う費用を反映したものではありません。 マーケットプレースを通じて登録する場合、Endor Labs の担当者がお客様の組織と協力してカスタム見積もりを生成します。 Azure コマーシャル マーケットプレースを通じて行われた Endor Labs の購入は、最小 Azure 従量課金コミットメント (MACC) にカウントされます。