ブラック・ダックのソフトウェア・コンポジション解析(SCA)は、多元的なオープンソース・スキャン技術を提供し、アプリケーションやコンテナに含まれているオープンソースを最も包括的かつ正確に把握できます。シノプシスのオープンソース検出は、ビルド・プロセスの監視、ファイル・システム・スキャン、ソースコード解析を組み合わせることで、多くのSCAツールが見逃しているコンポーネントを含む使用中のすべてのオープンソースのトラッキングが可能です。

依存関係の解析

MavenやGradleなどのビルド・ツールと統合して、JavaやC#などの言語でビルドされたアプリケーション内のオープンソースの宣言された依存関係と推移的な依存関係の両方を追跡します。

コードプリント解析

文字列、ファイル、およびディレクトリ情報をBlack Duck KnowledgeBaseにマップして、CやC++などの言語を使用してビルドされたアプリケーションのオープンソースおよびサードパーティーのコンポーネントを識別します。

バイナリ解析

コンパイル済みアプリケーション・ライブラリおよび実行可能ファイル内のオープンソースを識別します。ソースコードやビルド・システムにアクセスする必要はありません。

スニペット解析

開発者や生成AIコーディング・ツールによって独自開発コード内にコピーされたオープンソース・コードの一部を検出し、ライセンス違反や競合が発生する可能性があります。

コンテナ・スキャン

バイナリ解析と CodePrint 解析を組み合わせて、コンテナ・イメージ内のオープンソースの依存関係をレイヤーごとに特定します。

package宣言だけでは不十分な理由

他の多くのソリューションは、パッケージ・マネージャの宣言のみを頼りにオープンソース・コンポーネントを識別しています。しかしこれらのソリューションは、次のような場合にコードに紛れ込んでいる可能性がある多数のオープンソースを見逃しています。

  • オープンソースの開発者が追加したコードをパッケージ・マニフェストで宣言していない
  • CやC++などの言語で記述されたオープンソースで、パッケージ・マネージャを使用していない
  • コンテナ内部に構築されたオープンソース
  • コンパイル済みバイナリおよびビルド成果物内のオープンソース
  • AIコーディングアシスタントによって追加されたオープンソース

CI/CDパイプラインに簡単に統合

SCA統合により、オープンソース・スキャンを既存の開発ツールやプロセスに簡単に組み込むことができます。これにより、使われている言語やパッケージ・マネージャを自動的に識別し、ディスカバリに適した統合を設定し、コードを分析する最も効果的な方法を見つけることができます。

統合についての詳細はこちら

Black Duck SCA テクノロジ

包括的なKnowledgeBase

もっと学ぶ

拡充された脆弱性データ

もっと学ぶ

エンドツーエンドでDevOpsを統合

もっと学ぶ

関連情報

Forrester Wave™: ソフトウェア・コンポジション解析(2023年第2四半期)

Black DuckがSCAのリーダーである理由をご覧ください

オープンソース・セキュリティ&リスク分析レポート

オープンソース・セキュリティの動向の詳細はこちら