Black Duck SCAによるオープンソースのリスク管理方法

Black Duck SCAによるリスクの最小化

セキュリティリスク

SCAは、既知および未知のオープンソース脆弱性の拡散管理を支援します。Black Duck® SCAではポリシー設定をカスタマイズ可能なため、優先度を定め、きめ細かいポリシーを作成してセキュリティアクティビティを効率化できます。Black Duck独自のセキュリティ研究チーム、Black Duck Security Advisories（BDSA）を活用して、一般に公開されている情報源を凌ぐセキュリティ調査研究を行っています。各BDSAには、実践的な修正ガイダンス、詳細な技術情報、CVSSスコアリング（現状評価基準など）、脆弱性の影響解析が含まれ、脆弱性の影響を受ける可能性のあるコードがアプリケーションによって呼び出されているかどうかを確認するうえで役立ちます。これを高度なポリシー管理と組み合わせることで、チームは複数の主要属性に基づいて、修正する脆弱性に優先順位を付けることができます。
 

法的リスク

オープンソースには、開発チームが見落としがちな厳格なライセンス要件と義務が定められています。これらの義務を確認して遵守しなければ、組織が法的リスクにさらされる可能性があります。Black Duck SCAは、2,700を超えるオープンソース・ライセンスを追跡することにより、高額の訴訟に発展する可能性があるライセンス違反や重要な知的財産の侵害を防ぎ、ライセンス条項への準拠を支援します。Black Duckのマルチファクター・スキャン手法は、堅牢なライセンスデータベースと連携して、パッケージマネージャーで宣言されている以外の、オープンソースの一部分や変更された部分、および宣言されていないオープンソースも洗い出し、ライセンスリスクの全体像を可視化します。
 

ソフトウェア・サプライチェーンのリスク

Black Duck Binary Analysis（BDBA）では、サードパーティーおよびオープンソースのコンポーネントを追跡してオープンソース・ソフトウェアの完全な部品表（BoM）を生成し、ソースコードへのアクセスを必要とせずに既知のセキュリティ脆弱性を特定することができます。BDBAを使用すると、デスクトップおよびモバイルアプリケーション、組み込みシステムファームウェアなど、ほとんどのコンポーネントをスキャンできます。これにより、調達/運用/開発チームは、商用アプリケーションやベンダー提供のバイナリなどのサードパーティー製ソフトウェアの構成を可視化し、洞察を得ることができます。
BDBAはバイナリファイル内のオープンソース・コンポーネントを識別するため、自社のソフトウェア開発だけでなく、複雑なソフトウェア・サプライチェーンに関する洞察も得られます。BDBAでは、ソフトウェア・サプライチェーンで省くことのできないオープンソース検出用の層を追加します。
 

運用上のリスク

アプリケーションが特定のオープンソース・コードに依存している場合、そのオープンソース・プロジェクトを支えているコミュニティが、いつまでもコードのメンテナンスを継続する保証はありません。すべての世代のソフトウェアがそうであるように、やがてサポートされなくなる可能性があります。また、もしサポートが縮小すれば、機能の向上、セキュリティ、安定性の更新などの更新が行われない可能性があります。

Black Duck SCAは、チームが最新のバージョンと健全なコミュニティに準拠してオープンソースを理解し、更新できるように、この情報を提供します。また、レガシー・オープンソースから生じる可能性があるリスクを管理するためのポリシーを提供します。
 

シームレスな統合