バックナンバーはこちら

today&tomorrow

Technology Update

2018 vol.110

BLACK DUCK HUB
オープンソース・ソフトウェアの脆弱性を検出して修復

Black Duck Hub は、セキュリティ部門や開発部門がアプリケーション・ポートフォリオ全般のオープンソース関連リスクを特定および修復できるよう支援します。

概要

  • コードをスキャンして使用中のオープンソースを特定
  • 使用しているオープンソースに対して既知の脆弱性を自動的にマッピング
  • 優先順位の決定 – リスクを評価して脆弱性に優先順位付け
  • 修正処理をスケジューリングして追跡
  • ライセンスとコミュニティの活動を特定

一般に静的解析ソリューションは、開発者がコードを記述する際に持ち込まれたコード関連の脆弱性を発見することに注力していますが、この手法だけでは長期的に報告される脆弱性を十分にカバーすることはできません。Heartbleed、Shellshock、Poodle、Ghost といった脆弱性は、一般的に使用されているオープンソース・コンポーネントが引き起こす影響の大きさを浮き彫りにしました。これらの広く公表された脆弱性は、毎年 4,000 件以上報告されるオープンソース脆弱性の氷山の一角に過ぎません。

Black Duck のみが提供する機能:

  • 最も包括的な対応言語と開発ツールの統合
  • 業界で最も包括的なオープンソース・ソフトウェアのナレッジベース
  • 修正追跡および管理機能の統合

セキュリティの第一歩は可視性

コードベースに存在するオープンソースを可視化することが、オープンソースのセキュリティ確保の第一歩です。可視化とは、どんなオープンソース・ライブラリが使用されているか把握するだけでなく、どこで、どのように使用されているかも把握することを意味します。Black Duck Hub は、継続的にコードをスキャンし特定のオープンソース・ライブラリとバージョンを識別します。National Vulnerability Database (NVD) と VulnDB (さらに包括的で更新の早い脆弱性データベース) から定期的に情報を更新している Black Duck® KnowledgeBaseTMは、脆弱性、ライセンス、コミュニティの活動、バージョンに関する重要なメタデータをオープンソース・ライブラリにマッピングします。

Black Duck Hubは、お客様のプロジェクトに新しく追加されたオープンソースがあるか継続的にスキャンするので、実際に問題化する前にセキュリティ脆弱性を管理する上で役立ちます。脆弱性をレビューして優先順位を付け、修正日を設定し、解決したかどうか追跡することができます。また、お客様のアプリケーションで使用されているオープンソース・ライブラリに対して、後から報告された新しい脆弱性がないかを自動的にモニタリングするため、新しく見つかった脆弱性にも迅速に対応することができます。

BLACK DUCK HUBの主な機能

高速スキャンと識別

自社のコードを把握。Hub の自動スキャン機能は、お客様のアプリケーションとコンテナ内のオープンソースをすべて識別し、目録を作成します。これにはパッケージファイルで宣言されていないコンポーネントも含まれます。

ビルドツールの統合

Jenkins プラグインを使って Hub を継続的インテグレーション (CI) 環境に統合すると、スキャン、識別、オープンソース・コンポーネント表 (BOM) の入力の自動化を進めることができます。

カスタマイズ可能なコンポーネント表 (BOM)

編集可能なオープンソース BOM と、自動スキャン、ビルドツール、パッケージマネージャーのマニフェストから得られた結果、手作業での入力を組み合わせてコードの可視性を維持します。

包括的なオープンソース・データベース

100 万件以上のオープンソース・プロジェクトの世界一包括的なデータベースである Black Duck KnowledgeBase™ を活用すれば、お客様のプロジェクトで使用されているオープンソースの正確な発見、信頼性の高い識別、リアルタイムの脆弱性マッピングが可能になります。

自動的な脆弱性マッピングとアラート

お客様のアプリケーション内のオープンソースに関連付けられている既知の脆弱性を特定し、お客様に影響を及ぼす新しい脆弱性が報告された場合にはアラートを受信できます。VulnDB アドオン・オプションを利用すれば、さらに多くの脆弱性を評価し、より早期にアラートを受け取れるようになります。

脆弱性調査ツール

CVE 番号、脆弱性 ID、名称で脆弱性を検索し、National Vulnerability Database(NVD) や VulnDB など複数の情報源の脆弱性情報にアクセスします。その脆弱性の詳細までドリルダウンを実行すれば、さらに詳しくリスクを分析し、社内で影響を受けているバージョンすべての特定、ソースファイルの参照、修正状況の表示/追跡といった操作が可能です。

修正の追跡

個々のプロジェクトで予定された、あるいは実際の脆弱性修正の進行状況を追跡します。CSV レポート機能を使えば、サードパーティー製ツールに修正レポートを簡単にインポートできます。

ポリシー管理

オープンソース・プロジェクト、ライセンスのタイプ、脆弱性許容度に対するポリシーを設定します。ポリシー違反をすばやく特定し、プロジェクト別またはコンポーネント別に例外を管理します。

リスク・ダッシュボードとレポート

セキュリティ、ライセンス、コミュニティ活動のリスクおよび修正の進行状況を表示する分かりやすいダッシュボードとレポートを使って、プロジェクト内および複数プロジェクト間のリスクを分析します。

IBM APPSCAN ENTERPRISE の統合

Black Duck Hub と IBM AppScan を併用すると、単一のダッシュボードからオープンソース・コードとカスタムコードのアプリケーション・セキュリティリスクを一括表示して管理することができます。

カテゴリートップ