Forresterによってソフトウェア・コンポジション解析の分野においてリーダーに選ばれたシノプシス

詳細な脆弱性の特定と効果的な修正

Forresterの報告書は、「シノプシスの脆弱性検出機能はこのForrester Waveで最強の機能に数えられる」としています。

Black Duckのマルチファクター・スキャンは、100以上の言語、依存関係分析、バイナリ解析、Codeprint解析、コード・スニペット検出、カスタム・コンポーネント検出のサポートと連携しています。アプリケーションの中で宣言された依存関係と宣言されていない依存関係の両方を検出することで、アプリケーションのコンテンツと関連する脆弱性およびライセンスの包括的で動的なインベントリを利用できます。

リスクを評価する際には網羅性と同様に精度も重要です。Forresterの報告書は、「顧客の評価では、精度が高いことが評価された。Black Duckから問題として報告された場合は、実際に問題が発生している」としています。ユーザーがアプリケーションを信頼する要因の一つは、発見された問題が実際にリスクをもたらすものであると確信できることです。

脆弱性の特定は、アプリケーション・セキュリティの1ステップにすぎません。脆弱性を見つけたら実際に対処する必要があります。その対処のためにBlack Duck Security Advisories（BDSA）サービスがあります。BDSAは脆弱性を把握し、優先順位を付け、修復するために必要なあらゆる情報をご提供します。BDSAには、重大度スコアリング、到達可能性、脆弱性の説明、影響を受けるバージョンの詳細、アップグレード/パッチ/回避策に関する重要なガイダンスが含まれます。これらの有益な詳細情報はすべて、シノプシスのCybersecurity Research Center（CyRC）が独自に作成した記録です。CyRCはシノプシスのオープンソースKnowledgeBaseを活用し、20,000以上のフォージやリポジトリから収集した390万件を超えるオープンソース・プロジェクトを対象にした、オープンソースのプロジェクト、ライセンス、セキュリティ情報に関する業界屈指の包括的なデータベースです。

Forresterの調査結果はこのような情報の充実度と符合すると考えられ、報告書には「レビューでは、シノプシスは脆弱性の修正ガイダンスと優先順位の点で高く評価された」と記されています。

柔軟なポリシー管理

Black Duckの柔軟なポリシー管理は、組織独自のリスク許容度の定義およびキャプチャを支援し、そのデータをSDLC全体で使用するIDE、Jenkins、Slack、Artifactoryなどのツールと連携して Black Duckで自動的に適用することができます。この機能は、組織にとっての最重要事項に焦点を絞ることで、アプリケーション・セキュリティ・ツールでのノイズの発生量を減らす効果があります。

Black Duckを使用することで、ライセンス・タイプ、脆弱性の重大度、オープンソース・コンポーネントのバージョンなど、さまざまな基準に基づいて、使用するポリシーのオープンソースのセキュリティを設定できます。その後、自動ワークフロー・トリガー、自動通知、Jiraなどのアプリケーションとのシームレスな統合により、ポリシーを適用し、修正作業を迅速化することができます。

ライセンスリスクの全体像

Black Duckでは、関連するライセンス義務によってもたらされるライセンスリスクの全体像を把握できます。ライセンスデータ、ライセンス、著作権者の特定に関する詳細な情報を使用して、ライセンス義務の全容を視覚化します。この機能を支えているのは、コードスニペット解析です。これにより、ライセンス義務を負っている可能性のあるオープンソース・コードがプロジェクトに貼り付けられた場合にそのコードの一部を特定することができます。アプリケーション内のライセンスを特定した後、調査結果をさらに分類し、宣言済み（declared）、詳細（deep）、または検出済み（discovered）としてランク分けします。これにより、リスクレベルと優先的に対処する必要がある義務を把握できます。Black Duckにはオープンソース・ライセンスに加えて、クローズドソース/サードパーティのライセンスをマッピングして識別する機能もあります。