2021 Open Source Security and Risk Analysisレポートは、2020年にBlack Duck 監査チームによって分析されたコードの75%がオープンソースで構成されていることを示しています。 この発見は、私たちがすでに知っていることを裏付けています。企業は、アプリケーションを構築する際にオープンソースソフトウェアの力を利用しています。 また、オープンソース管理ツールがソフトウェアのセキュリティとライセンスコンプライアンスを確保するために不可欠であることも認識しています。ただし、ほとんどのオープンソース管理ツールは、ビルド環境でソースコードにアクセスできる場合に最適に機能します。 一部のユースケースでは、このような統合や可視性は不可能です。 これら3つのユースケースを見ていき、バイナリコード解析が不可欠である理由を見てみましょう。
ユースケース#1:サードパーティ・ソフトウェアの分析
あなたの会社はサードパーティが開発したソフトウェアを調達して製品に組み込んでいるため、潜在的なオープンソースのセキュリティリスクを特定する必要があります。
自動車や金融サービスなどの業界の大企業は、通常、テクノロジー主導ではありません。 代わりに、彼らは独自の製品ポートフォリオを推進するためにテクノロジーに依存しています。 たとえば、自動車を製造する自動車会社を考えてみましょう。 多くの場合、自動車会社はGPS、Bluetooth、ヘッド・アップ・ディスプレイ(HUD)など、車に組み込まれているテクノロジーを開発していません。 代わりに、これらのテクノロジーを機能させるために、ベンダーや請負業者からアプリケーションの大規模な製品群を調達します。 しかし、自動車メーカーがソフトウェアを開発しなかったからといって、自動車にインストールした後、ソフトウェアに夢中になっているわけではありません。
通常、サードパーティ・アプリケーションを社内に持ち込んだとしても、そのソースコードにアクセスすることはできません。または、ソフトウェアを購入する前に、購入サイクルまたはセキュリティレビューの一環としてソフトウェアの状態を分析している可能性があります。ご存知のとおり、アプリケーションにはオープンソースが含まれている可能性が高いため、購入したソフトウェアを精査するのに役立つバイナリコード解析ツールが必要です。結局のところ、脆弱なソフトウェアが原因でリモートでハッキングされる車に乗りたくないからです。
このユースケースでは、サードパーティのソフトウェアを独自のビルドとは別に保持する代わりに、サードパーティのライブラリまたはコンポーネントをアプリケーションに統合します。最初の例と同様に、サードパーティのソースコードにアクセスすることはできません。ただし、独自にプルするオープンソース・コンポーネントを実行するのと同じように、これらのサードパーティ・コンポーネントに組み込まれているオープンソースを識別、追跡、管理、および監視する必要があります。
これを行うには、オープンソース管理ツールでソースコードをスキャンするようにバイナリコードをスキャンする必要があります。 また、バイナリコードの解析で明らかになった情報を使うことで、ソフトウェア部品表(SBOM)を強化する必要があります。そうすることで、アプリケーション内のサードパーティ・コンポーネントをカバーするより正確なBOMを取得できます。
アプリケーションのポートフォリオが複数の事業部またはチームに分散している大規模な組織には、横串のセキュリティ・チームが存在する場合があります。これらのチームは、オープンソースのリスク管理を担当しています。 ただし、多くの場合、すべてのアプリケーションのビルドシステムにアクセスできるわけではありません。 また、機密性の高いソースコードを表示または分析する権限がない場合もあります。
どちらの場合も、セキュリティチームはバイナリコードをスキャンできる必要があります。 バイナリコード解析ツールを使用することで、ビルド環境やソースコードにアクセスしなくても、オープンソースの脆弱性を検出できます。
バイナリコード解析ツールが必要な理由
バイナリコードのスキャンがオープンソース管理の重要な部分であるユースケースは他にもたくさんあります。 したがって、オープンソース管理ツールについて検討するときは、ツールがビルドプロセスの一部としても外部からもバイナリコードをスキャンできるかどうかを検討してください。 詳細については、オンデマンドで視聴できるウェビナーをご覧ください。
Continue Reading
