Black Duckソフトウェア・コンポジション解析

開発からデプロイまでのOSS (オープンソース) のライセンスとセキュリティの管理

シノプシスのBlack Duckは、アプリケーションやコンテナに含まれるオープン・ソースおよびサードパーティーのコードから生じるセキュリティ、品質、ライセンス・コンプライアンス上のリスクを管理する包括的なソフトウェア・コンポジション解析(SCA)ソリューションです。サードパーティーのコードに対する優れた可視性を提供するBlack Duckを利用することにより、ソフトウェア・サプライチェーンおよびアプリケーション・ライフサイクル全体を通じてサードパーティー・コードを管理できます。

M&Aにおけるオープンソース・リスクの評価をご検討中ですか?監査サービスについてはこちらをご覧ください。

追跡されないオープンソースがもたらすリスク

サードパーティー・コードは工数とコストの削減を可能にしますが、以下のような危険が潜んでいる危険性もあります。

  • セキュリティ脆弱性(National Vulnerability Databaseで特定されたCVEなど)
  • 一般的なソフトウェアの弱点(SANS Top 25:ソフトウェア脆弱性のトップ25やOWASP Top 10:Webアプリケーションの脆弱性のトップ10など)
  • ライセンス違反やIP所有権に関連するリスク

Black Duckによるオープンソースの管理

Black Duckソフトウェアコンポジション解析は、汎用性の高いオープンソース・リスク管理機能と詳細なバイナリ検査を統合した、業界最高クラスのソリューションを提供します。Black Duckは、開発、運用、調達、およびセキュリティ・チームに、オープン・ソースやサードパーティー・ソフトウェアのセキュリティ、コンプライアンス、およびコード品質リスクを最小限に抑えながらも、そのメリットを実現するために必要なツールを提供します。

 

データシートのダウンロード      テクノロジの詳細

 

コード内のオープンソースを検出

検出

• コード、バイナリ、コンテナ内のオープン・ソースを特定します
• 部分的な、および変更されたコンポーネントを検出します
• DevOpsの統合のスキャンを自動化します

オープンソース・ライセンスのリスクを特定

保護

• 既知の脆弱性とコンポーネントを紐付けます
• ライセンスおよびコンポーネントの品質リスクを特定します
• 開発および運用環境の新しい脆弱性を監視します

• オープン・ソースのセキュリティ・ポリシー

管理

• オープン・ソースの使用方法と、セキュリティ・ポリシーを規定し施行します
• DevOps統合により、ポリシーの施行を自動化します
• 対策を格付けし、追跡します

シノプシスは 2019年版 Forrester Waveのソフトウェア・コンポジション解析の分野においてリーダーに選ばれました

その理由をご紹介します

開発中のオープンソースを管理

Black Duckでアプリケーションのソース・コードの中にあるオープン・ソース・コンポーネントを特定、追跡でき、アプリケーションを危険にさらす新規および既存の脆弱性を監視できます。

Black Duckによるソース・コード解析

評価の高さ、操作性の高さ、結果の信頼性の高さという3つの理由でBlack Duckを選択しました。"

Lawrence Croft

|

Copperleafの製品開発担当副社長

多元的なオープン・ソース検出を使用します。
宣言済みのコンポーネント、一意なハッシュ・シグニチャや、ビルド中に解決された依存関係を特定します。

使用されているオープン・ソースの完全なインベントリを作成します。
アプリケーションに含まれる、サードパーティー・コンポーネント、ライセンス、およびバージョンをすべて追跡します。

部品表(BoM)を割り当てます。
オープン・ソース・プロジェクト、脆弱性、ライセンス・データの大規模なナレッジ・ベースにBoMを割り当てます。関連するリスク指標と実用的な修正ガイダンスを使って、情報に基づいた意思決定を下します。

脆弱性に関する、詳細な見識を取得します。
Cybersecurity Research Center (CyRC) から、詳細な独自のセキュリティ・リスク見解を取得できます。NVDに公開される最大3週間前に、新しい脆弱性の通知を受信できるため、露出期間を短縮できます。

脅威の進化に応じてセキュリティを維持します。
BoM内のコンポーネントや依存関係に脆弱性が新たに検出された場合に自動的にアラートを受信できます。

DevSecOpsをわかりやすく

静的アプリケーション・セキュリティ・テストおよびソフトウェア・コンポジション解析により、CI/CDパイプラインにアプリケーション・セキュリティを構築します。

Webセミナーを視聴する

デプロイ中のオープンソースを管理

Black Duck OpsSightは、オープンソースの既知の脆弱性が運用環境にデプロイされることを阻止します。OpsSightは、独自に作成し、運用環境で実行されるコンテナ・イメージにあるオープンソース・コンポーネントとそれに関連するあらゆるセキュリティ脆弱性に対する優れた可視性を提供します。Black Duck OpsSightは、コンテナ・オーケストレーション・プラットフォームに直接統合することができ、アプリケーションへのリスクを最小限にするために必要な可視性とコントロールを提供します。

 

データシートのダウンロード

スキャン

OpsSightは、コンテナ・オーケストレーション・プラットフォーム内で、コンテナ・イメージがクラスタ内で使用された時点ですべてをスキャンし、あらゆる既知の脆弱性を報告します。

監視

OpsSightは、コンテナ・イメージ内で見つかったオープンソースを継続的に監視し、新しいオープンソースのセキュリティ情報の漏えいやコンポーネントの変更を検出します。

レポート

スキャン結果はコンテナ・イメージ上のメタデータとして格納されるので、脆弱性リスクを表示し、コンテナ・オーケストレーション・プラットフォーム上のコンソールから直接、ポリシーを実行することができます。

調達中のオープンソースを管理

Black Duck Binary Analysisを使用すると、ソース・コードをまったく使用せずに、システムやソフトウェアを解析してソフトウェア・サプライチェーン内で脆弱性のあるリンクをすばやく簡単に特定できます。

ほとんどすべてのソフトウェアまたはファームウェアを数分でスキャン。
これには、デスクトップおよびモバイル・アプリケーション、組み込みシステム・ファームウェア、仮想アプライアンスなどが含まれます。

ソース・コードを使用せず解析可能。
査定するソフトウェアをアップロードするだけで、Black Duckが数分で徹底的なバイナリ解析を実行します。

包括的な部品表(BoM)の取得。
すべてのサードパーティー・ソフトウェア・コンポーネントとライセンスを特定し、列挙します。

的確な情報に基づいてソフトウェアの利用に関する意思決定を行うことができます。  
セキュリティ・リスクとライセンス非準拠の脅威を低減します。既知のオープンソース脆弱性、ライセンス義務、重要データの漏えい、アプリケーションのアクセス許可要件を特定します。    

脅威の進化に応じてセキュリティを維持します。
以前スキャンしたソフトウェアの中で新たに脆弱性が検出されたときに自動的にアラートを受信できます。

データシートのダウンロード

合併・買収(M&A)取引におけるソフトウェア・リスクの管理

Black Duck監査によって、買収対象のコードベースに存在するライセンス、品質およびセキュリティのリスクについて全体像を確認することができます。

オープンソースのインベントリと分析、および改善の計画。

コード内のオープンソース・コンポーネント、それらのライセンス義務、および関連するセキュリティ上の脆弱性に関する包括的な部品表(BoM)を入手してください。監査計画に組み込むために改善のための推奨事項をご確認ください。

アプリケーションのセキュリティ上の欠陥を評価する。

潜在的に悪用可能な問題を発見するために、アプリケーションの内部および外部からアプリケーションのテストを実行します。 潜在的なセキュリティ侵害のリスクを理解し、データ、IP、または財務上の損失が発生する前に改善のための計画を立てます。

ハイレベルな設計とコード品質の問題を特定する。

コード設計とプロセス品質を理解するために、定量的および定性的分析を行います。設計上およびプロセス上の潜在的な欠陥のために、統合作業に余計な時間と費用が発生する恐れがあります。

監査サービスについてはこちらをご覧ください

オープンソースの管理、リスクの排除、対策の迅速化    

Black Duckは、オープンソースのセキュリティ/ライセンス/運用リスクを特定し、修正するための包括的なツールキットにより、アプリケーションの開発、デプロイ、調達に必要な機能を強化します。リスクを未然に排除するため、脆弱性対策とリスク緩和のための洞察に富んだガイダンス、オープンソースのライセンス・コンプライアンスに関する豊富なデータ、セキュリティに関するBlack Duck独自のアドバイス、効果的なポリシー管理をご活用ください。