マルチファクター・オープンソース検出

シノプシスのBlack Duckマルチファクター・オープンソーススキャニング技術は、アプリケーションやコンテナに含まれているオープンソースのもっとも包括的かつ正確なビューを提供します。シノプシスのオープンソース検出では、構築プロセスの監視とファイル・システム・スキャニングを組み合わせることで、多くのソリューションが見逃してしまうコンポーネントを含む使用中のすべてのオープンソースのトラッキングが可能です。

構築プロセスの監視

パッケージ・マニフェストで明示的に宣言されたコンポーネントと共に、構築中に動的に解決された追加の依存関係もトラッキング

ファイル・システムのスキャニング

「コードプリント」(SHAファイル・シグネチャ)と共に、ファイルおよびディレクトリのメタデータを解析し、宣言されていないオープンソース・コンポーネント、変更されたオープンソース・コンポーネント、部分的なオープンソース・コンポーネントを検出

コード・スニペットのマッチング

コードに組み込まれているオープンソースの「スニペット」を特定して著作権やライセンス義務の可能性を明確化

パッケージ宣言だけでは不十分な理由

他の多くのソリューションは、パッケージ・マネージャの宣言のみを頼りにオープンソース・コンポーネントを識別しています。しかしこれらのソリューションは、次のような場合にコードに紛れ込んでいる可能性がある多数のオープンソースを見逃しています。

  • オープンソースの開発者が追加したコードをパッケージ・マニフェストで宣言していない
  • CやC++などの言語で書かれたオープンソースでパッケージ・マネージャを使用していない
  • コンテナ内部に構築されたオープンソースでパッケージ・マネージャを使用していない

さらにこれらのソリューションは、パッケージ宣言で構築物に含まれる単一のバージョンを指定していない場合に、推移従属関係およびコンポーネントについて不正確な結果を出すことがあります。

Black Duckは、ファイル・システム情報と構築プロセスの監視を組み合わせることで、パッケージ・マネージャがトラッキングしていないオープンソース・コンポーネントを可視化し、動的および推移的従属関係についてはコンポーネントおよびバージョン情報を提供します。

CI/CDパイプラインに簡単に統合

オープンソース・ディスカバリ・クライアントであるBlack Duck Detectを利用することにより、既存の開発ツールおよびプロセスへのオープンソースの統合が容易になります。Black Duck Detectは、使われている言語やパッケージ・マネージャを自動的に識別し、ディスカバリに適した統合を設定して、最も効果的にコードを解析する方法を見つけます。

 

Black Duck統合の詳細はこちら