拡充された脆弱性データ

開発中のアプリケーションにオープンソースの脆弱性が潜んでいませんか? 昨日出荷したアプリケーションはどうですか?

毎年、何千もの新たなオープンソース脆弱性が報告されています。市販のソフトウェアとは違って、オープンソースでは、ベンダーによる最新情報の提供や、最新のセキュリティ・アップデート提供の保証はありません。そういうことは自分でやらなければならないのです。

Black Duckの脆弱性データベースによる報告監視は、お使いのオープンソースに含まれている既知の脆弱性に関する包括的なビューを提供しています。また、新たな脆弱性が報告されれば、リアルタイムで警告を通知し、アプリケーションの出荷前でも後でも、ずっと保護し続けます。

拡充された脆弱性データ:NVDを越えて

他のソリューションは、米国政府による標準ベースの脆弱性データの蓄積であるNational Vulnerability Database(NVD:脆弱性情報データベース)のデータにもっぱら依存しています。しかし、NVDに記録されることのない脆弱性や影響を受けたオープンソースプロジェクトは数多く存在しています。また、NVDに加えられた脆弱性も、公開されるまでに数週間を要することも珍しくありません。そのリスクを考えれば、のんびり待ってはいられません。

NVDを凌駕するBlack DuckのEnhanced Vulnerability Data(EVD)は、Black Duckのセキュリティ・リサーチ専任チームが複数のソースを研究・分析して得られたデータを活用することで、完璧かつ正確な情報収集を実現し、早期の警告と完全なインテリジェンスをお届けします。

  • 新規に報告された脆弱性の同日(NVDよりも最大3週間早い)通知
  • NVDよりも多い脆弱性報告
  • 実用的な緩和/回避/修正ガイダンス
  • 影響があるアプリケーションへの直接マッピングによるリスク・エクスポージャーの迅速な評価
  • CWEおよびCVSS 2.0/3.0重大度データ
  • 攻撃の証拠と危殆化情報

オープンソース脆弱性ハッカーとの戦い

オープンソースは広く使われており、オープンソース脆弱性やエクスプロイトもまた広く報告されています。それも多くは同日中にです。それはつまり、数千ものアプリケーションやwebサイトに侵入するためのツールや優先権を、ハッカーたちに与えることになってしまうのです。

脆弱性が公開されると同時に戦いが始まります。侵入を許してしまう前に、アプリケーションのオープンソースに含まれる脆弱性を見つけ、修復しなくてはなりません。Black Duckはこの戦いに勝つための支援策として、お使いのオープンソースの包括的なビューを提供し、新しい脆弱性が報告されればどこよりも早く通知して、すぐに脆弱性を検知・修復できるようにします。

Black Duckは、デプロイメント前からその後までも保護します

新しいオープンソース脆弱性が見つかるのは、オープンソースの発表から数年後、ということも珍しくありません。安全を維持するためには、アプリがデプロイされたずっと後まで、アプリに影響をおよぼす脆弱性を掌握している必要があります。Black Duckは、監視を継続し、新たな脆弱性が(開発中でも本番環境に展開されても)アプリケーションに影響する場合には、自動的に、継続的に、再スキャンすることなく、すぐに警告します。Black Duckは、アプリケーション開発ライフサイクル全体をカバーしています。

ソフトウェアのセキュリティと品質に関するエキスパートに聞く