Black Duckソフトウェアコンポジション解析

アプリケーションとコンテナに含まれるオープンソース・リスクをセキュアに管理する

Black Duckは、アプリケーションやコンテナに含まれるオープンソースおよびサードパーティーのコードから生じるセキュリティ、品質、ライセンス・コンプライアンス上のリスクを管理する包括的なソフトウェアコンポジション解析(SCA)ソリューションです。サードパーティーのコードに対する優れた可視性を提供するBlack Duckを利用することにより、ソフトウェア・サプライチェーンおよびアプリケーション・ライフサイクル全体を通じてサードパーティー・コードを管理できます。

M&Aにおけるオープンソース・リスクの評価をお探しですか? 監査サービスの詳細をご覧ください。

Black Duckによるオープンソースの管理

Black Duckソフトウェアコンポジション解析は、汎用性の高いオープンソース・リスク管理機能と詳細なバイナリ検査を統合した、業界最高クラスのソリューションを提供します。Black Duckは、開発、運用、調達、およびセキュリティ・チームに、オープンソースやサードパーティー・ソフトウェアのセキュリティ、コンプライアンス、およびコード品質リスクを最小限に抑えながらも、そのメリットを実現するために必要なツールを提供します。

検出

• コード、バイナリ、コンテナ内のオープンソースを特定します
• 部分的な、および変更されたコンポーネントを検出します
• DevOpsの統合のスキャンを自動化します

保護

• 既知の脆弱性とコンポーネントを紐付けます
• ライセンスおよびコンポーネントの品質リスクを特定します
• 開発および運用環境の新しい脆弱性を監視します

管理

• オープンソースの使用方法と、セキュリティ・ポリシーを規定し施行します
• DevOps統合により、ポリシーの施行を自動化します
• 対策を格付けし、追跡します

Black Duckテクノロジ

すべてのオープンソース・セキュリティ・ソリューションが同じように作られているわけではありません。シノプシスのソリューションは、業界最先端のテクノロジ基盤上に構築されており、ソフトウェアに潜んでいるオープンソース・リスクの最も包括的かつ正確なビューを確実に得られます。

マルチファクター・オープンソース検出

  • 依存関係のスキャンを超える、多元的な検出
  • 宣言されていないものや改版されたもの、部分的なオープンソース・コンポーネントまでも検出
  • ソースコードへのアクセスの有無に関係なく、徹底したオープンソースの検出
拡充された脆弱性データ
マルチファクター・オープンソース検出

拡充された脆弱性データ

  • 独自にリサーチしているBlack Duck Security Advisories(BDSA)の活用
  • NVDより数週間も早く、豊富な脆弱性データを提供
  • 重要なビジネス要件に基づいて修正作業を自動的に優先順位付け 

エンドツーエンドでDevOpsを統合

  • アプリケーション・ライフサイクルのすべての段階においてオープンソース・リスクを管理できます。
  • 一度オープンソースの運用ポリシーを定義するだけで、自動的にアラートが通知され、運用ポリシーが適用されます。
  • IDEで、コーディング中でも脆弱性について、BDSAにアクセスできます。
エンドツーエンドでDevOpsを統合
Black Duck KnowledgeBase

包括的なKnowledgeBase

  • Black Duck KnowledgeBaseは、オープンソースの信頼できる情報ソースです。
  • 20,000を超えるグローバル・サイトやフォージから継続的にデータを自動収集します。
  • Black Duckの専門家チームがキュレートし、検証します。

2019 Forrester Waveのソフトウェアコンポジション解析の分野においてリーダーに選ばれました。

その理由をご紹介します

開発 + -

評価の高さ、操作性の高さ、結果の信頼性の高さという3つの理由でBlack Duckを選択しました。」

Lawrence Croft

|

Copperleafの製品開発担当副社長

開発中のオープンソースを管理

Black Duckソフトウェアコンポジション解析でアプリケーションのソース・コードの中にあるオープンソース・コンポーネントを特定、追跡でき、アプリケーションを危険にさらす新規および既存の脆弱性を監視できます。

多元的なオープンソース検出を使用して、使用されているオープンソースのインベントリを作成します。
宣言済みのコンポーネント、一意なハッシュ・シグニチャや、ビルド中に解決された依存関係を特定します。アプリケーションに含まれる、サードパーティー・コンポーネント、ライセンス、およびバージョンをすべて追跡します。

部品表(BOM)を割り当てます。
オープンソース・プロジェクト、脆弱性、ライセンス・データの大規模なKnowledgeBase™にBOMを割り当てます。関連するリスク指標と実用的な修正ガイダンスを使って、情報に基づいた意思決定を下します。

コード作成中にリスクを管理します。
Code Sight IDEプラグインを利用すると、開発者はコード作成中に問題の特定と修正に必要な情報を得ることができます。作業を中断したりIDEを終了したりせずに、脆弱性の詳細、修正ガイダンス、ライセンス情報、および潜在的なポリシー違反にアクセスして、問題を修正することができます。

脆弱性に関する、詳細な見識を取得します。
Cybersecurity Research Center(CyRC)から、詳細な独自のセキュリティ・リスク見解を取得できます。NVDに公開される最大3週間前に、新しい脆弱性の通知を受信できるため、露出期間を短縮できます。

脅威の進化に応じてセキュリティを維持します。
BOM内のコンポーネントや依存関係に脆弱性が新たに検出された場合に自動的にアラートを受信できます。

データシートのダウンロード

調達 + -

サードパーティー・ソフトウェアの脆弱性に対応するための、革新的なバイナリ・スキャナー。」

ソフトウェア・エンジニア

|

通信業界

調達中のオープンソースを管理

Black Duck Binary Analysisを使用すると、ソース・コードをまったく使用せずに、システムやソフトウェアを解析してソフトウェア・サプライチェーン内で脆弱性のあるリンクをすばやく簡単に特定できます。

ほとんどすべてのソフトウェアまたはファームウェアを数分でスキャン。
これには、<b></b>デスクトップおよびモバイル・アプリケーション、組み込みシステム・ファームウェア、仮想アプライアンスなどが含まれます。

ソース・コードを使用せず解析可能。
査定するソフトウェアをアップロードするだけで、Black Duckが数分で徹底的なバイナリ解析を実行します。

包括的な部品表(BoM)を取得できます。
すべてのサードパーティー・ソフトウェア・コンポーネントとライセンスを特定し、列挙します。

的確な情報に基づいてソフトウェアの利用に関する意思決定を行うことができます。
セキュリティ・リスクとライセンス非準拠の脅威を低減します。既知のオープンソース脆弱性、ライセンス義務、重要データの漏えい、アプリケーションのアクセス許可要件を特定します。

脅威の進化に応じてセキュリティを維持します。
以前スキャンしたソフトウェアの中で新たに脆弱性が検出されたときに自動的にアラートを受信できます。

データシートのダウンロード

    

M&A + -

合併・買収に際したソフトウェアのリスクに対処します。

Black Duck監査では、被買収側におけるコードベースのライセンス、品質、セキュリティのリスクの全体像を把握できます。

オープンソースや修正計画のインベントリを作成して分析します。
オープンソース・コンポーネント、オープンソースのライセンス上の義務、コードの関連するセキュリティ脆弱性に関する包括的な部品表(BOM)を得られます。デリジェンス計画に組み込める修正提案を得られます。

アプリケーションのセキュリティの欠陥を評価します。
エクスプロイトの可能性がある問題を発見するため、アプリケーションの内外からアプリケーションのテストを実施します。潜在的なセキュリティ侵害のリスクを把握し、データ、IP、または財務上の損失が生じる前に、修正計画を策定します。

概要設計とコード品質の問題を特定します。
コード設計とプロセスの品質を把握するため、定量的分析と定性的分析を組み合わせます。設計とプロセスの欠陥は、統合作業にかかる時間と費用を増加させる可能性があります。

Black Duck監査の詳細はこちら

オープンソースの管理、リスクの排除、対策の迅速化    

Black Duckは、オープンソースのセキュリティ/ライセンス/運用リスクを特定し、修正するための包括的なツールキットにより、アプリケーションの開発、デプロイ、調達に必要な機能を強化します。リスクを未然に排除するため、脆弱性対策とリスク緩和のための洞察に富んだガイダンス、オープンソースのライセンス・コンプライアンスに関する豊富なデータ、セキュリティに関するBlack Duck独自のアドバイス、効果的なポリシー管理をご活用ください。