DevSecOpsをKotlinで実践する - Gradle Lockfileから始める依存ライブラリ/SBOM管理 by Akito Ono

Kotlin Fest 2025
ショート(20分)
ツール/エコシステム 中級者

DevSecOpsをKotlinで実践する - Gradle Lockfileから始める依存ライブラリ/SBOM管理

omelette_alpaca Akito Ono omelette_alpaca
2

大規模なKotlinプロジェクトでは、数百から数千の依存ライブラリが存在し、それらの管理は容易ではありません。 また、昨今のサプライチェーン攻撃の高度化により、依存ライブラリ管理の重要性も増しています。

そこで、本セッションでは、開発者目線の、Gradle/Trivy/GitHub Actionsを用いた依存ライブラリ管理の自動化パイプラインの構築例を紹介します。

本セッションのポイント

  • Gradleのdependency関連機能について
  • 既存のSBOMツールの課題とLockfile & Trivyによる解決
  • GitHub Actionsによる自動パイプラインの構築
  • OSSスキャナを用いた定期的な脆弱性スキャンの導入

Kotlin ScriptによるGradle Taskの実装例も交えつつ、明日からでもすぐに試せる、段階的に導入できる実践的なテクニックを紹介します。