Service
OSS管理ソリューション「Black Duck」
Black Duckとは、アプリケーションに含まれるオープンソース(OSS)に起因するセキュリティ脆弱性や、ライセンス違反などのリスクを管理する解析ツールです。オープンソース関連のリスクを、アプリケーションライフサイクル全体を通して管理します。
Black Duckの導入メリット
- POINT1 利用OSSとその脆弱性を即時確認できるので、対応による手戻りを防止できます。
- POINT2 監視・アラート機能により、リリース後もソフトウェアの品質を高く保持できます。
- POINT3 社内で利用実績のあるOSS情報を共有し、リスクの撲滅や効率化が実現できます。
オープンソースソフトウェア(OSS)利用における課題
オープンソースソフトウェア(OSS)は、開発効率向上やコスト削減の観点から、多くのソフトウェア開発プロジェクトで利用されていますが、一方でその利用に際して、留意すべき課題も存在します。
| OSS管理 |
・OSS取り扱いポリシーの策定 ・運用プロセスの策定 ・監査、運用体制 |
|---|---|
| セキュリティリスク |
・脆弱性管理、対応 ・不具合対応 |
| コンプライアンス | ・OSSライセンス対応 |
これらの課題への対策が不十分な場合、
- ライセンス違反による、損害賠償請求、企業イメージの低下
- 脆弱性の混入による、サービスの停止、個人情報などの機密情報流出
などのリスクに直結することになります。
ソフトウェア開発において、
- どのようなOSSが使われているか
- OSSの脆弱性を把握し、対策できているか
- OSSの使用許諾条件を遵守しているか
を正確かつ、タイムリーに管理することは必須事項と言えます。
Black Duckの全体像
Black Duckは、100万以上のOSSデータベースを利用し、お客様の製品コードの中から、OSSを自動的に特定し、ライセンス情報、脆弱性情報、運用上のリスク情報を可視化、提供します。
Black Duckの特徴
視認性の高いダッシュボード
ダッシュボードではOSSに関する各種リスクについてひと目で確認できます。新規脆弱性の通知や、ライセンス情報、脆弱性の詳細表示、レポートの生成などが可能です。
ダッシュボード(全体)
ダッシュボード(プロジェクト)
確実なリスク検出
検出したOSSに既知の脆弱性が存在している場合、その脆弱性を表示します。
脆弱性情報はNVD(National Vulnerability Database)から最新の情報を1日3回(8時間ごとに)確認しています。
新たな脆弱性が公表された場合、過去に1度スキャン済みであれば、再スキャンをすることなく新規脆弱性通知が届きます。脆弱性はNVDが発行しているCVE番号ごとに確認が可能です。
- CVE番号ごとに脆弱性への対応状況のステータス管理が可能
- CVE番号から、影響のあるソフトウェアやプロジェクト一覧への逆引きが可能
スニペットマッチ機能
1ファイルずつ中身を確認し、関数レベルでのOSS流用を検出する機能です。
掲載されている製品名、会社名、サービス名、ロゴマークなどはすべて各社の商標または登録商標です。