オープンソース・コードのセキュリティを確保する

Black Duck® SCAは、オープンソースおよびサードパーティ・コードにおけるセキュリティ、品質、およびライセンス・コンプライアンスのリスクをチームで管理するのに役立ちます。

コードの内容を理解する

複数のスキャン・テクノロジを組み合わせて、あらゆるタイプのソフトウェア、ソースコード、成果物内のオープンソースの依存関係を特定します。

ソフトウェア・サプライチェーンのリスクを管理する

依存関係に関連するセキュリティ、品質、およびライセンスの問題を特定して解決します。

お客様との信頼を確立する

業界および顧客の要件に合わせてセキュアな開発標準を定め、SBOMを生成します。

ソフトウェア・サプライチェーンを可視化する

Black Duck SCAは、複数のスキャン・テクノロジを組み合わせてソースコード、ファイル、成果物、コンテナ、ファームウェア内のすべてのオープンソースの依存関係を特定します。

依存関係の解析

パッケージ・マネージャーによって宣言された直接的および推移的な依存関係を特定します。

バイナリ解析

ソースコードにアクセスせずに、ファームウェアやコンテナ・イメージなど、ビルド後の成果物内の依存関係を検出します。

Codeprint解析

パッケージ・マネージャーによって宣言されていない場合でも、ソース・ファイルとディレクトリ内の依存関係を特定します。

スニペット解析

AIコーディング・ツールに含まれるコード・スニペットなどを、元のオープンソース・プロジェクトと照合します。

依存関係リスクを管理する

Black Duck® Security Advisoriesは、チームが脆弱性を特定し、リスクを評価し、正確に修正するのに役立ちます。

SDLC統合によりソフトウェア・サプライチェーンのファイアウォールを作成する

Black Duckにより、オープンソース・ポリシーを定義し、開発のすべての段階で自動的に適用できるようになり、コントロールが可能になります。

開発者向け

信頼性の高いコードを構築する。開発中に高リスクのコンポーネントに対処する。

開発チームおよびDevOpsチーム向け

ボトルネックなくコードをセキュリティ保護。CIパイプライン内でスキャンを自動化し、ポリシーを強制する。

セキュリティおよび運用チーム向け

セキュアなソフトウェアをデプロイする前に、コンポーネントのリスクの有無を検査し、デプロイ後に発見されたリスクについて、セキュリティ・アラートを受け取る。

SBOMをSDLC全体に統合する

Black Duck SCAにSBOMをインポートして依存関係を既知のコンポーネントにマッピングする。SPDXおよびCycloneDX形式でSBOMをエクスポートする。SDLCツールと統合してSBOMの自動生成とリスク監視を行う。
Black Duck SCAは、SBOM(ソフトウェア部品表)の取り組みにおいて先陣を切っています。”

Philippe Bobo

Head of Research and Development, MEGA International

ニーズに合ったプランをお選びください

よくある質問


ソフトウェア・コンポジション解析(SCA)は、他のアプリケーション・セキュリティ・ツールとどのように異なりますか?

独自開発のコードとオープンソース・コードの脆弱性は同様の方法で検出および修正できるという誤解があるため、オープンソースのセキュリティは見過ごされがちです。現実には、SAST、DAST、およびその他のアプリケーション・セキュリティ・テスト・ツールでは、オープンソースの脆弱性を効果的に検出することはできません。そこで、SCAの出番です。

SCAと他のアプリケーション・セキュリティ・ツールの重要な差別化要因は、これらのツールが解析する内容とその状態です。SCAはサードパーティーのオープンソース・コードの脆弱性、ライセンス、運用上の要因を解析し、SASTは独自開発コードの弱点を解析し、DASTは実行中のアプリケーションの脆弱性をテストします。

SASTとソフトウェア・コンポジション解析の両方が必要ですか?

包括的なソフトウェア・セキュリティ・プログラムには、SASTとSCAの両方が含まれています。このような手法を採用している組織では、問題の早期特定による品質の向上、独自開発のコードとオープンソース・コード全体に対する可視性の向上、開発プロセスの早い段階で脆弱性を検出して修正することによる修正コストの削減、セキュリティ違反リスクの最小化、および効果的かつアジャイル開発に対応した最適化されたセキュリティ・テストなど、SDLC全体で改善が見られます。

Black Duckは、どのような統合をサポートしていますか?

Black Duckは、ほとんどのポピュラーな開発ツールおよびREST APIに対して使いやすいオープンソース統合が利用できるため、ほぼすべての商用開発環境やカスタマイズした開発環境用に独自の統合構築が可能です。Black Duckは、IDE(統合ソフトウェア開発環境)、パッケージ・マネージャー、CI/CD、問題追跡ツール、本番環境機能など、SDLC全体で幅広い統合を提供します。

Black Duckでサポートされている統合

Black Duckの脆弱性情報はどこから来ているのですか?

ほとんどのソリューションは、National Vulnerability Database(NVD:脆弱性情報データベース)のデータのみに依存しています。多くの脆弱性はNVDに文書化されず、また、公開される他の脆弱性も、掲載されるまでに数週間はかかるため、この制限は問題です。Black Duck Security Advisories(BDSA)はNVDを凌駕するもので、Black DuckのCybersecurity Research Center(CyRC)が研究・分析して得られたデータを活用することで、完全かつ正確な情報収集を実現し、早期の警告と詳細な洞察をお届けします。

Black Duck脆弱性レポート

宣言されている依存関係以上のものをスキャンする必要があるのはなぜですか?

多くのソリューションは、パッケージ・マネージャーの宣言を使用してオープンソース・コンポーネントを識別しています。ただし、宣言されている依存関係以上のものをスキャンしなければ、一部のオープンソースを見逃すことになります。そして、そのオープンソースがあることを知らなければ、セキュリティ上安全で規格に準拠していることは保証できません。

パッケージ・マネージャーのスキャンでは、開発者がパッケージ・マニフェストで宣言していないオープンソース(CやC++などの言語)、パッケージ・マネージャーが使用されていないコンテナに組み込まれているオープンソース、変更されたオープンソース、または、ライセンス義務があるコードの部分的なスニペットが見落とされます。Black Duckは、ファイル・システム・スキャンおよびスニペット・スキャンとビルド・プロセスの監視を組み合わせることで、パッケージ・マネージャーがトラッキングしていないオープンソース・コンポーネント、オープンソースの一部、変更されたか宣言されなかった可能性があるオープンソース、動的および推移的な依存関係のコンポーネントとバージョンの検証を可視化することができます。

ソフトウェア・コンポジション解析ソリューションを選ぶ際には、何に注目する必要がありますか?

簡潔に答えると、オープンソース・リスクのエンドツーエンド管理を提供する、範囲の広い強力なソリューションです。Black Duckのようなソリューションは、SDLC全体にわたるオープンソース管理への包括的なアプローチを提供します。

具体的には、SCAソリューションを選択する際、次の機能を考慮する必要があります。

  • 宣言されているもの以上の包括的なスキャン
  • 永続的な部品表
  • ポリシー、ワークフロー、SDLC統合
  • NVDにないものにも対応した堅牢な脆弱性データベース
  • ライセンス・コンプライアンス機能
  • 監視とアラート
Black Duckは、どのような言語とプラットフォームをサポートしていますか?

Black Duckは、ほとんどの一般的なパッケージ・マネージャーをサポートしています。Black Duckのスニペット・スキャンは、トップの言語とよく使用される言語に対応しています。KnowledgeBaseの専門チームは、常に新しい言語を監視および追加しており、すべての一般的な言語がサポートされるようにしています。

さらに、Black Duck独自のシグネチャ・スキャン・アプローチは言語に依存しません。このスキャン・アプローチは、言語に依存しない他のメタデータとともに、ファイルとディレクトリのレイアウトに基づいてシグネチャを検索します。

サポートされている言語とプラットフォームの最新リストについては、お問い合わせください。

SCAはソースコードに加えてバイナリ・コードをサポートしていますか?

はい。一部のソリューションでは、バイナリをスキャンしてパッケージ・マネージャー情報を探したり、リポジトリから直接取得したバイナリを変更せずに探したりできます。Black Duckの洗練されたバイナリ・スキャン・ソリューションは、バイナリを解読して、変更されたバイナリを検出し、レガシー言語と幅広いアーチファクトのサポートを提供できます。

Black Duck Binary Analysis

Black DuckのKnowledgeBaseのライセンス・データはどの程度包括的ですか?

Black DuckのオープンソースKnowledgeBaseは、Black DuckのCybersecurity Research Center(CyRC)が、オープンソースのプロジェクト、ライセンス、セキュリティ情報を取得して整理している、業界で最も包括的なデータベースです。KnowledgeBaseには、2,650件以上の固有オープンソース・ライセンス(GPL、LGPL、Apacheなど)、一般的なオープンソース・ライセンスのライセンス全文、各ライセンスのエンコードされた属性や義務が含まれています。Black Duckには、詳細な著作権データ、および徹底したオープンソース・コンプライアンスのために埋め込まれたオープンソース・ライセンスを引き出す機能も含まれています。

Black Duckはコンテナをスキャンしますか?

はい。Black Duckを使用すると、Docker(およびその他の)コンテナを使用してアプリケーションをパッケージ化して配信するチームは、コンテナ内のオープンソースが使用ポリシーとセキュリティ・ポリシーを満たしており、脆弱性がなく、ライセンス義務を果たしていることを確認および証明できます。オープンソース管理には、既存のアプリケーションとコンテナに影響を与える新たな脆弱性の継続的な監視が含まれます。

Black Duck SCA リソース