ソフトウェア・インテグリティ

 

Black Duck SCAによるオープンソースのリスク管理方法

オープンソースのリスクはアプリケーション・セキュリティの範疇に留まりません。法律、運用、サプライチェーンへの影響を考えると、Black Duck SCAなどの高機能なソリューションが必要です。

Black Duck SCAによるオープンソースの管理 | シノプシス

オープンソースはあらゆるものに見つけられます。あらゆる業界のほとんどのアプリケーションが一定程度までオープンソースで構成されています。クラウドネイティブ・アプリケーションの導入、システム全体でのオープンソースの使用拡大、開発するアプリケーションの複雑化により、組織が直面するリスクレベルが高まりつつあります。DevOps手法の導入で開発スピードが急加速する状況にあって、適切なソフトウェア・コンポジション解析(SCA)ツールの選択は、あらゆる業種の組織にとって、その決定的な重要性を増しつつあります。

オープンソース・ソフトウェアは、その使用に伴って生じる比較的分かりやすいセキュリティ・リスク以外に、法律、ソフトウェア・サプライチェーン、運用上のリスクを企業にもたらします。Gartnerの「2020 Market Guide for Software Composition Analysis(ソフトウェア・コンポジション解析に関する市場ガイド)」では、SCAツールをアプリケーション戦略に組み込む必要性についての概要を説明しています。堅牢なSCAツールを使用することで、ここで指摘されている重要なリスクを調査して、これに対処し、セキュリティ体制の強化とリスク管理を実現することができます。

Black Duck SCAによるリスクの最小化

Black Duck SCAによるリスクの最小化 | シノプシス

セキュリティ・リスク

SCAは、既知および未知のオープンソース脆弱性の拡散管理を支援します。Black Duck® SCAではポリシー設定をカスタマイズ可能なため、優先度を定め、きめ細かいポリシーを作成してセキュリティ・アクティビティを効率化できます。Black Duck独自のセキュリティ研究チーム、Black Duck Security Advisories(BDSA)を活用して、一般に公開されている情報源を凌ぐセキュリティ調査研究を行っています。各BDSAには、実践的な修正ガイダンス、詳細な技術情報、CVSSスコアリング(現状評価基準など)、脆弱性の影響解析が含まれ、脆弱性の影響を受ける可能性のあるコードがアプリケーションによって呼び出されているかどうかを確認するうえで役立ちます。これを高度なポリシー管理と組み合わせることで、チームは複数の主要属性に基づいて、修正する脆弱性に優先順位を付けることができます。

法的リスク

オープンソースには、開発チームが見落としがちな厳格なライセンス要件と義務が定められています。これらの義務を確認して遵守しなければ、組織が法的リスクにさらされる可能性があります。Black Duck SCAは、2,700を超えるオープンソース・ライセンスを追跡することにより、高額の訴訟に発展する可能性があるライセンス違反や重要な知的財産の侵害を防ぎ、ライセンス条項への準拠を支援します。Black Duckのマルチファクター・スキャン手法は、堅牢なライセンス・データベースと連携して、パッケージ・マネージャーで宣言されている以外の、オープンソースの一部分や変更された部分、および宣言されていないオープンソースも洗い出し、ライセンス・リスクの全体像を可視化します。

ソフトウェア・サプライ・チェーンのリスク

Black Duck Binary Analysis(BDBA)では、サードパーティーおよびオープンソースのコンポーネントを追跡してオープンソース・ソフトウェアの完全な部品表(BoM)を生成し、ソースコードへのアクセスを必要とせずに既知のセキュリティ脆弱性を特定することができます。BDBAを使用すると、デスクトップおよびモバイル・アプリケーション、組み込みシステム・ファームウェアなど、ほとんどのコンポーネントをスキャンできます。これにより、調達/運用/開発チームは、商用アプリケーションやベンダー提供のバイナリなどのサードパーティー製ソフトウェアの構成を可視化し、洞察を得ることができます。
BDBAはバイナリ・ファイル内のオープンソース・コンポーネントを識別するため、自社のソフトウェア開発だけでなく、複雑なソフトウェア・サプライチェーンに関する洞察も得られます。BDBAでは、ソフトウェア・サプライチェーンで省くことのできないオープンソース検出用の層を追加します。

運用上のリスク

アプリケーションが特定のオープンソース・コードに依存している場合、そのオープンソース・プロジェクトを支えているコミュニティが、いつまでもコードのメンテナンスを継続する保証はありません。すべての世代のソフトウェアがそうであるように、やがてサポートされなくなる可能性があります。また、もしサポートが縮小すれば、機能の向上、セキュリティ、安定性の更新などの更新が行われない可能性があります。

Black Duck SCAは、チームが最新のバージョンと健全なコミュニティに準拠してオープンソースを理解し、更新できるように、この情報を提供します。また、レガシー・オープンソースから生じる可能性があるリスクを管理するためのポリシーを提供します。

シームレスな統合
Black Duck SCAとのシームレスな統合 | シノプシス

オープンソースを管理すると、開発スピードや機動性を低下させる恐れがあります。Black Duck SCAは、ソフトウェア開発ライフサイクル(SDLC)とCI/CDツールチェーンにシームレスに統合し、摩擦を軽減して開発速度の維持をサポートします。

Black Duckの自動化されたポリシー管理により、オープンソースの使用、セキュリティ・リスク、およびライセンス・コンプライアンスに関するポリシーを事前に定義し、SDLC全体にわたってその実施を自動化することができます。アジャイル開発チームは、迅速な製品化と全体的な製品品質の改善を実現するために自動化されたテストと開発を利用しています。Black Duck SCAはCI/CDパイプライン、パッケージ・マネージャー、コンテナ・プラットフォーム、API、IDE統合などに対して摩擦のないオープンソース統合を提供します。

効果的なSCAソリューションでAppSecプログラムを強化

Black Duckは、ポートフォリオおよび部門横断的にリスクを効果的かつ容易に管理するための業界をリードするソリューションです。

問い合わせはこちら