ソフトウェア・コンポジション解析

オープン・ソース・ソフトウェアのリスク管理 

シノプシスのソフトウェア・コンポジション解析(SCA)は、オープン・ソース(OSS)およびサードパーティ・ソフトウェアからのリスクを管理する包括的なソリューションです。シノプシスのSCAがサードパーティのコードに対する可視性を提供するため、複雑化するソフトウェア・サプライ・チェーン全体のアプリケーション開発プロセス中にサードパーティ・コードを制御できます。

アプリケーションに何が潜んでいるか?

サードパーティ・コードは工数とコストの削減を可能にしますが、以下のような危険が潜んでいる危険性もあります。

  • セキュリティ脆弱性(National Vulnerability Databaseで特定されたCVEなど)
  • 一般的なソフトウェアの弱点(SANS Top 25:ソフトウェア脆弱性のトップ25やOWASP Top 10:Webアプリケーションの脆弱性のトップ10など)
  • ライセンス違反やIP所有権に関連するリスク
最新のソフトウェア・コンポジションの現状で報告された事項を見てみましょう。

シノプシスのSCAはOSSの管理を簡易化できます。

シノプシスのソフトウェア・コンポジション解析(SCA)は、オープン・ソース(OSS)およびサードパーティ・ソフトウェアからのリスクを管理する包括的なソリューションです。シノプシスのSCAがサードパーティのコードに対する可視性を提供するため、複雑化するソフトウェア・サプライ・チェーン全体のアプリケーション開発プロセス中にサードパーティ・コードを制御できます。

 

検出

• コード、バイナリ、コンテナ内のオープン・ソースを特定します
• 部分的な、および変更されたコンポーネントを検出します
• DevOpsの統合のスキャンを自動化します

保護

• 既知の脆弱性とコンポーネントを紐付けます
• ライセンスおよびコンポーネントの品質リスクを特定します
• 開発および運用環境の新しい脆弱性を監視します

管理

• オープン・ソースの使用方法と、セキュリティ・ポリシーを規定し施行します
• DevOps統合により、ポリシーの施行を自動化します
• 修正活動を格付け、スケジュール、および追跡します

シノプシスは、アプリケーション・セキュリティ・テストに関するガートナー社のマジック・クアドラントで、再びリーダーに指名されました

レポートを読む

Black Duckでソース・コード解析を円滑に実行できます。

Black Duck Hubでアプリケーションのソース・コードの中にあるオープン・ソース・コンポーネントを特定、追跡でき、アプリケーションを危険にさらす新規および既存の脆弱性を監視できます。

Black Duckによるソース・コード解析

評価の高さ、操作性の高さ、結果の信頼性の高さという3つの理由でBlack Duckを選択しました。"

Lawrence Croft

|

Copperleafの製品開発担当副社長

多元的なオープン・ソース検出を使用します。
宣言済みのコンポーネント、一意なハッシュ・シグニチャや、ビルド中に解決された依存関係を特定します。

使用されているオープン・ソースの完全なインベントリを作成します
アプリケーションに含まれる、サードパーティ・コンポーネント、ライセンス、およびバージョンをすべて追跡します。

部品表(BoM)を割り当てます。
オープン・ソース・プロジェクト、脆弱性、ライセンス・データの大規模なナレッジ・ベースにBoMを割り当てます。関連するリスク指標と実用的な修正ガイダンスを使って、情報に基づいた意思決定を下します。

脆弱性に関する、詳細な見識を取得します。 
Black Duck Center for Open Source Research and Innovation(COSRI)から、詳細な独自のセキュリティ・リスク見解を取得できます。NVDに公開される最大3週間前に、新しい脆弱性の通知を受信できるため、露出期間を短縮できます。
 
コードの崩壊に対する事前対策を講じます。
BoM内のコンポーネントや依存関係に脆弱性が新たに検出された場合に自動的にアラートを受信できます。
 

DevSecOpsをわかりやすく

静的アプリケーション・セキュリティ・テストおよびソフトウェア・コンポジション解析により、CI/CDパイプラインにアプリケーション・セキュリティを構築します。

Webセミナーを視聴する

Protecode SCによるバイナリ解析の簡易化

Protecode SCを使用すると、ソース・コードをまったく使用せずに、システムやソフトウェアを解析してソフトウェア・サプライ・チェーン内で脆弱性のあるリンクをすばやく簡単に特定できます。

ほとんどすべてのソフトウェアまたはファームウェアを数分でスキャン。
これには、デスクトップおよびモバイル・アプリケーション、組み込みシステム・ファームウェア、仮想アプライアンスなどが含まれます。

ソース・コードを使用せず解析可能。
査定するソフトウェアをアップロードするだけで、Protecode SCが数分で徹底的なバイナリ解析を実行します。

包括的な部品表(BoM)の取得。
すべてのサードパーティ・ソフトウェア・コンポーネントとライセンスを特定し、列挙します。

ソフトウェア・コンポーネント内の既知の脆弱性とライセンス義務を特定します。
現実的な指標による、テクノロジーの使用と購入に関する情報に基づいた意思決定を下します。

コードの崩壊に対する事前対策を講じます。
以前スキャンしたソフトウェアの中で新たに脆弱性が検出されたときに自動的にアラートを受信できます。

データシートのダウンロード

サプライ・チェーンに習熟する

購入したソフトウェアのコンポジションを可視化し、購買の意思決定を向上させ、複雑なシステムやソフトウェアの運用に伴う継続的なリスクに対処します。