Black Duckのソフトウェア・コンポジション解析(SCA)は、コードベース、アプリケーション、またはコンテナ内のオープンソースとサードパーティの依存関係を自動的に特定し、ソフトウェア・サプライチェーンのセキュリティを確保するのに役立ちます。

完全な可視性

複数のスキャン・テクノロジにより、ソースコード、コンテナ、バイナリ内のオープンソース、サードパーティ、およびカスタム・コンポーネントの依存関係を完全に把握できます。

速やかな修正

独自に調査された脆弱性、ライセンス、コンポーネントの健全性に関する分析情報により、コンポーネントの選択、問題の優先順位付けと修正が合理化されます。

自動化されたガバナンス

すぐに使えるカスタマイズ可能なポリシーにより、オープンソースのガバナンスを開発ワークフローやツール・チェーンに統合し、自動化できます。 

ソフトウェア・サプライチェーンを管理する

モダン・アプリケーションは単に構築されるだけではなく、組み立てられています。コードの75%以上は、オープンソースおよびサードパーティのソフトウェア・サプライチェーンの依存関係から派生しています。Black Duck SCAを使用すると、アプリケーションで使用されるコンポーネントを自動的に追跡および管理できます。

  • コードの内容を理解する
  • 直接的および推移的な依存関係の速やかな分析と、ソースコードおよびバイナリ・コード・スキャン、およびオープンソース・スニペット検出を組み合わせて、あらゆるソフトウェア(AIで生成されたコードも含む)の依存関係を特定します。
  • オープンソース・ポリシーを適用する
  • 標準ポリシーを一度定義すれば、チームやアプリケーション全体に一様に適用できるため、リスクの高いコンポーネント、ライセンス・タイプ、脆弱性が運用環境に反映されるのを防ぐことができます。
  • リスクを特定し、優先順位を付けて対処する
  • 重要性の高いセキュリティ、コンプライアンス、コンポーネントの健全性リスクに焦点を絞り、ドリルダウンして詳細かつ正確な分析情報を取得することにより、コンポーネントがリスクを引き起こす理由、重大度、およびチームがそれにどのように対処できるかを理解するのに役立ちます。
  • 包括的なSBOMを構築する
  • 業界、規制、顧客の要件を満たすために、SPDXおよびCycloneDXソフトウェア部品表(SBOM)を生成します。サプライヤーからのSBOMを統合して、サプライチェーンのコンポーネントとリスクを包括的に把握します。
CI/CDプロセス・ループ
Black Duckのセキュリティおよび運用リスクの詳細
polarisデスクトップ
polarisデスクトップ
お使いの環境に応じたソフトウェア・コンポジション解析

開発スタックがどのようなものであっても、Black Duckを使用すると、SCAを開発とDevOpsのワークフローおよびツールチェーンにシームレスに統合できます。

Icon Cloud Software Development
クラウド上で

最新の開発に最適化された使いやすいSaaSソリューションをお探しですか? Polaris fAST SCAを使用すると、ソースコード管理ツールと継続的インテグレーション・イベントによってトリガされる自動スキャンにより、オープンソースのセキュリティ・リスクを数分でオンボードして管理を開始することができます。 

Polaris fAST SCAの詳細はこちら
Icon AppSec Testing On Prem
オンプレミス

現在の環境にデプロイできるSCAソリューションが必要ですか? Black Duckは、エアギャップ環境のサポートを含む、オンプレミスのデプロイオプションを提供します。また、Software Risk Managerを使用すると、ソフトウェア・コンポジション解析を包括的なアプリケーション・セキュリティ体制管理ソリューションに統合できます。

Software Risk Managerの詳細はこちら
Icon Appsec Testing IDE
IDE(統合ソフトウェア開発環境)で

開発のペースを落とさずにセキュリティ・テストをシフトレフトしたいと思いませんか? Code Sight™ IDEプラグインを使用すると、コードをチェックインする前に、オープンソースのセキュリティとコンプライアンスの問題を見つけて修正できます。Code Sightは脆弱なコンポーネントにフラグを立て、最適な修正オプションに関するガイダンスを提供します。 

Code Sight™の詳細はこちら
ユニバーサルSCAスキャン・エンジンとコンポーネントの分析情報

Black DuckのSCAソリューションは、スキャン、解析、データ・テクノロジの共通セットに基づいて構築されており、クラウド上、オンプレミス、IDE内のいずれでも同様に正確かつスケーラブルな結果を速やかに得ることができます。

複数の検出テクノロジ

複数のスキャン・エンジンにより、パッケージ・マネージャーの情報とソースコードおよびバイナリの解析が結合され、言語に関係なく、あらゆるソフトウェアの依存関係を完全かつ正確に検出できます。

詳細はこちら

包括的なKnowledgeBase™

630万を超えるコンポーネントに関するオープンソース・プロジェクト、セキュリティ、ライセンスの分析情報により、ソフトウェア・ライセンス・モデルと互換性のある安全で高品質なコンポーネントを確実に使用できます。

詳細はこちら

リアルタイムのセキュリティ警告

独自の調査を行うBlack Duck Security Advisories(BDSA)は、新たに見つかったオープンソースの脆弱性を、NVDを凌駕する精度と修正に関する分析情報とともに同日中に通知します。

詳細はこちら

Black Duckの利点
Leader in the Forrester Wave™ for Software Composition Analysis

2017年以来、Black Duckは、現在の製品、戦略、市場でのプレゼンスを基準にして評価を行うForrester Wave™によりソフトウェア・コンポジション解析のリーダーに選出されています。

私たちがリーダーである理由をご覧ください

引用

「JenkinsやGitHub Actionsを含む当社のCI/CDプロセスにうまく統合されており、カスタマイズされたクエリを作成するための便利なAPIを備えています」
 

トレンドマイクロ

引用

「プロジェクト・マネージャーは、任意のプロジェクトにポリシーを設定し、Black Duckを開いて使用中のオープンソースに関する完全なレポートを取得できます」

NOSER ENGINEERING AG

 

世界の 4000 以上の組織がブラック・ダックを信頼しています

accessdata
BAM Technologies
Broad Institute
DHS
DOMA Technologies
Finra
Honeywell
Leonardo
Linx
Magnet Marelli
NASA
Nuance
Olymp
Science Logic
ZPE
TrendMicro
oppo
CEVA
Document Logistix
CGI
Fortune 100社中49位

ソフトウェア企業

トップ10のうち6位

金融サービス会社

トップ10のうち10位

テクノロジ企業

トップ10のうち6位

ヘルスケア企業

リソース

Forrester Wave™: ソフトウェア・コンポジション解析(2023年第2四半期)

SCAはソフトウェア・サプライチェーンのセキュリティを確保するために不可欠です。
Black DuckがSCAのリーダーである理由をご覧ください

日立製作所

日立製作所がオープンソースの可視化をどのように実現したのかご覧ください

ガートナー・マジック・クアドラントのアプリケーション・セキュリティ・テスト部門

Black Duckがリーダーである理由をご覧ください

セブン&アイ・ネットメディア

Black Duckを活用した網羅的な脆弱性チェックを導入

価格のお問い合わせ