サードパーティのライブラリや実行可能ファイルによって多くのオープンソースが組織の内部に入り込み、それに伴って対処すべき脆弱性やライセンス義務が忍び込む可能性があります。しかし、ほとんどのソフトウェア・コンポジション解析(SCA)ソリューションではソースコードやビルドシステムへのアクセスが必要なため、ソフトウェア・サプライチェーンはリスクにさらされたままになります。
ソフトウェア・バイナリのセキュリティおよびライセンスのリスクを検出
Black Duck® Binary Analysisは、コンパイルによって実行可能ファイル、ライブラリ、コンテナ、ファームウェアに組み込まれたオープンソースやサードパーティの依存関係を可視化します。直感的なユーザー・インターフェイスやBlack Duckのマルチファクター・オープンソース検出機能を使用して、バイナリ・ファイルのスキャンを自動化し、ファイルを個別に分析することができます。
Black Duck Binary Analysisでは、静的解析と文字列解析を組み合わせた手法と、Black Duck KnowledgeBaseに対するファジーマッチングを用いて、たとえ変更が加えられていてもコンポーネントを迅速かつ確実に特定します。
市場に出る前に実行可能ファイルとコンテナをスキャン
新しいオープンソース・コンポーネントは、パッケージ化して顧客や本番環境に配布されるため、ビルド中にSCAスキャンを実行したとしても、アプリケーションに入り込む可能性があります。
Black Duck Binary Analysisでは、コンテナや実行可能ファイルに対してデプロイ前のセキュリティ・スキャンを迅速かつ簡単に実行可能で、最終的なパッケージによって新しいコンポーネントや脆弱性が持ち込まれないようにすることができます。
既知の脆弱性以外のセキュリティ・リスクにも対処
アプリケーションのバイナリに潜んでいる可能性があるセキュリティ上の問題はオープンソース脆弱性だけではありません。
Black Duck Binary Analysisでは、Eメール・アドレス、認証トークン、コンパイラ・スイッチ、パスワードなどの重要情報の暴露を検出し、過剰なアクセス許可を要求するモバイル・アプリケーションを特定して、組織やユーザーの個人データをリスクから保護します。
ソフトウェア・サプライ・チェーンのリスクを検出・管理
モダン・アプリケーションは、さまざまなソースを通じて入手した自社開発、オープンソース、サードパーティーのコンポーネントが混在する複雑な構成になっています。
Black Duck Binary Analysisが支援するソフトウェア・サプライチェーン内のセキュリティ・リスクおよびライセンス・リスクの検出・管理は以下が対象です。
- 自社構築したソフトウェア内のサードパーティ・ライブラリ
- 独立系ソフトウェア・ベンダーから調達したパッケージ・ソフトウェア
- IoT/組み込み機器のファームウェア
- コンテナとコンテナ・イメージ
- 変更された/未変更のオープンソース・コンポーネント
関連コンテンツ
