DevOps統合

アジャイル開発は、迅速な製品化と製品の品質改善を実現するために自動化された開発とテストを利用しています。シノプシスのBlack Duckは自動DevOpsフレームワークとして、お客様のアプリケーションにオープンソースの脆弱性が存在しないこと、オープンソースライセンスと運用ポリシーに準拠していることを保証するためにご支援します。使いやすいオープンソース統合は最もポピュラーな開発ツールと共に利用できます。また、REST APIはどんな商用開発環境やカスタマイズした開発環境でも独自の統合構築が可能なため、アジャイルな開発、セキュリティ、コンプライアンスを同時に確保できます。

IDE(統合ソフトウェア開発環境)統合

Black DuckのIDE 統合では、Black Duckのソースファイルのスキャン結果のコードで、オープンソースのセキュリティ・ギャップが検知できます。オープンソース・コンポーネントをコードで利用すると、これらのプラグインが自動的にスキャンするので、コードを確認する前に、コンポーネントのセキュリティ情報の検索と修正措置を行うことができます。

継続的インテグレーション(CI)ツールの統合

Black Duck CI統合により、スキャニング作業をCIビルドプロセスの一環として構成および自動化することができます。スキャンの結果はBlack DuckおよびCIユーザー・インターフェイスに表示されます。Black Duckに定義されているオープンソースのアプリケーション・セキュリティ、ライセンスおよび運用ポリシーはCIツール内でアラートを表示する設定、またはビルドを失敗とする設定が可能なため、プロジェクトタイプとビルド段階をもとにした実行を設定できます。

パッケージ管理ツールとビルド・ツール

Black Duck統合では、ビルド環境から取得する依存関係情報を併用しながらバイナリ・ファイルをスキャンすることでオープンソースの検出機能を強化できます。プロジェクトの依存情報の収集とBlack Duckへの報告を自動化し、両ソースから得たデータを結合して徹底した正確なオープンソースの部品表(BOM)にまとめることができます。

バグ・問題追跡の統合

Black Duckのバグ・問題追跡の統合により、使用中のシステムでネイティブに発生するBlack Duckポリシー違反およびセキュリティ・アラートに関する問題(「チケット」)を生成、追跡、管理することで、お客様の開発およびテスト作業を管理することができます。

GitHubからダウンロード

バイナリ・リポジトリの統合

Black Duckバイナリ・リポジトリの統合は、お客様の開発者が使用するコード成果物がオープンソースの運用ポリシーに準拠しており、かつ、既知の脆弱性を含んでいないことを保証するご支援をします。これらのプラグインは、リポジトリに既存の成果物およびこれから追加される成果物をスキャンすることで、非準拠の成果物がプログラムに混入または波及することを防ぎます。さらに、Black Duckの脆弱性・ポリシー監視機能により、新たなセキュリティ・リスクまたはポリシーがリポジトリ内の成果物に影響を及ぼす場合には、アラートで通知します。

アプリケーション・セキュリティ・スイートの統合

Black Duckアプリケーション・セキュリティ・スイートの統合は、ユーザーに各々のアプリケーションを構成するカスタム・コードおよびオープンソース・コンポーネント全体に存在しているアプリケーション脆弱性を「単一の画面」で表示します。オープンソースの脆弱性と静的アプリケーション・セキュリティ・テスト(SAST)の結果を統合したこのビューは、アプリケーションのコードベース全体で開発チームが修正作業の優先度を設定、管理するのに役立ちます。

コンテナ・プラットフォームの統合

Dockerコンテナはアプリケーションのパッケージ化およびデプロイ方法を大きく変革します。コンテナを使用すると、開発チームはアプリケーションの継続的統合・配信(CI/CD)が簡単に行えますが、一方、運用チームにとっては、アプリケーションセキュリティおよびコンプライアンス管理が難しくなります。Black Duckコンテナ・プラットフォームの統合の利用は、お客様のコンテナにオープンソースの脆弱性が存在しないこと、オープンソースポリシーに準拠していることを、デプロイ前、デプロイ中、デプロイ後に保証するために役立ちます。

Docker

ビルトイン!

Black Duckアプリケーション・プログラミング・インターフェイス(API)

構築済の統合の使用に加えて、Black Duckの持つ豊富なREST APIを利用すれば自分でBlack Duckとのカスタム統合を構築することができます。REST APIは幅広い構成、自動化、ポリシー管理、アラート機能をサポートしています。マニュアルとインタラクティブなサンプルをBlack Duckユーザー・インターフェイスから利用可能です。

SPDXの統合

Software Package Data Exchange®(SPDX®)は、ソフトウェア・パッケージに関連するオープンソースのコンテンツ、ライセンス、著作権の情報を交換するための標準規格として進化を続けています。その目的は、ソフトウェア・サプライチェーンに属する企業がソフトウェア・ライセンス管理義務を果たすためのコンプライアンス確保を容易にすることにあります。

SPDXはソフトウェア部品表(BoM)の文書化と共有のための統一された方式を提示することにより、サプライチェーン・パートナーの情報交換を効率化します。この標準規格の開発および管理はLinux FoundationのSPDX作業部会が行っています。

Software Package Data Exchange Specificationの詳細については、 www.spdx.orgをご覧ください。

カスタマイズする。これこそがオープンソースです。

多くのBlack Duck統合はApache 2.0オープンソース・ライセンスに基づきオープンソース統合として提供されています。お客様固有の環境に合わせてカスタマイズしたり、お客様独自のツールとの新しい統合を作成するモデルとしてご利用ください。他のユーザーの役に立つような変更を加えましたか? その変更内容でコミュニティに貢献してください。現在の統合の詳細情報や問題の追跡、および最新の統合やバージョンは、GitHubのBlack Duckのページをご利用ください。

セキュアで高品質なソフトウェア構築を迅速化する準備はできていますか?

ソフトウェアのセキュリティと品質に関するエキスパートに聞く