Service
OSS / SBOM 管理ツール 「Black Duck」
Black Duck(ブラックダック)とは、アプリケーションに含まれるオープンソース(OSS)に起因するセキュリティ脆弱性や、ライセンス違反などのリスクを管理するOSS管理ツールです。オープンソース関連のリスクを、アプリケーションライフサイクル全体を通して管理します。
※「Black Duck」は、Synopsys 社が提供するOSS / SBOM 管理ツールです。
ベリサーブは、Black Duck開発元の
Synopsys社より「2022 Best Sales of
the Year」を受賞しました。
- 開発しているソフトウェアに利用している OSS を把握したい
- OSSのライセンスに関わるコンプライアンス違反がないか知りたい
- 複数のコンポーネントで構成されるOSSのソフトウェア脆弱性が心配
- OSSに関する知見を持った社員がいないため、手探りで運用をしている
- OSSの脆弱性は日々発見をされるが、海外の情報を素早く入手することが難しい
OSS / SBOMの管理でこんなお悩みはありませんか?
知識・スキルを持ったベリサーブのエンジニアが
Black Duck の導入・運用をご支援いたします!
Black Duck の導入・運用をご支援いたします!
Black Duck を利用するメリット
- POINT1OSSの検知力今やOSはソフトウェアの過半を占めています。そして、部品化されたOSSは見えない形で混入することも少なくありません。Black Duckは、意図せず混入するOSSを圧倒的な検知力で見つけます。
- POINT2 法令遵守(コンプライアンス)法令違反は企業ブランドを大きく棄損します。特にライセンス違反は金銭的な罰則もあって大きなリスクです。Black Duckの精緻なソフトウェアの管理は、多くのリスクを低減させます。
- POINT3セキュリティ強化混入したOSSに深刻な脆弱性があった場合、企業に多くの脅威をもたらします。Black Duckは、OSSを精緻に把握することでサイバー攻撃の脅威を低減させます。
アプリケーションに含まれるOSSの比率が急拡大
出典:日本シノプシス社「2020年オープンソース・セキュリティ&リスク分析」
Black Duckの全体像
Black Duckのシステム構成
Black Duckは、510万以上のコンポーネントで構成される独自OSSデータベースを利用しお客様の製品コードの中から OSS を自動的に特定し、ライセンス情報、脆弱性情報、運用上のリスク情報を可視化、提供します。
Black Duckの特長
1.視認性の高いダッシュボード
ダッシュボード:全体
ダッシュボードでは、全製品(プロジェクト)の各種リスクについてひと目で確認が可能です。また、新しい脆弱性などが報告された場合にも通知されるため、ダッシュボードで確認できます。
ダッシュボード:プロジェクト
プロジェクトページでは、スキャンしたコードに含まれているOSSが自動的に判定されて表示されます。ライセンスや脆弱性の詳細表示、レポートの生成などが可能です。
2.さまざまなスキャン機能
ファイルやバイナリを解析し利用しているOSSのコンポーネント名やバージョンを正確に特定します。また、1ファイルずつ中身を確認し、例えば関数のコピー&ペーストなど部分的なOSSの流用やパッケージマネージャーを使って利用している(依存している)OSSも正確に検出することができます。
3.確実な脆弱性の検出
検出したOSSに既知の脆弱性が存在している場合、その脆弱性を表示します。
脆弱性情報はNVD(National Vulnerability Database)から最新の情報を1日複数回確認しています。
新たな脆弱性が公表された場合、過去に1度スキャン済みであれば、再スキャンをすることなく新規脆弱性通知が届きます。脆弱性はNVDが発行しているCVE番号ごとに確認が可能です。
・CVE番号ごとに脆弱性への対応状況のステータス管理が可能
・CVE番号から、影響のあるソフトウェアやプロジェクト一覧への逆引きが可能
脆弱性情報はNVD(National Vulnerability Database)から最新の情報を1日複数回確認しています。
新たな脆弱性が公表された場合、過去に1度スキャン済みであれば、再スキャンをすることなく新規脆弱性通知が届きます。脆弱性はNVDが発行しているCVE番号ごとに確認が可能です。
・CVE番号ごとに脆弱性への対応状況のステータス管理が可能
・CVE番号から、影響のあるソフトウェアやプロジェクト一覧への逆引きが可能
なぜ、Black Duckなのか?
Black Duckは、世界中で使用され評価されているOSS検査ツールのデファクトスタンダードです。
- Gartner Magic Quadrant for Application Security Testingで、シノプシスが6年連続でリーダーに選出されました
※参考:シノプシス、2022年Gartner Magic Quadrant for Application Security Testingで6年連続でリーダーに選出
- Forresterの調査で、ソフトウェア・コンポジション解析の分野においてBlack Duckがリーダーに選ばれました
- 経済産業省サイバー・フィジカル・セキュリティ確保に向けたソフトウェア管理手法検討タスクフォースのSBOM実証で、Black Duck が有償ツールとして採用されました
ベリサーブが選ばれる3つの理由
- ベリサーブは、組み込み系、Web系、エンタープライズ系などのさまざまな業界・業種のお客様における年間300プロジェクト(累計4,000プロジェクト以上)のOSS混入検査の実績を誇ります。
- ベリサーブでは、OSS混入検査を効率化するSDKアプリケーションの自社開発、APIを利用した検査の自動化などを行っております。また、お客様のニーズに合わせたカスタマイズも可能です。このアプリケーションとノウハウをご提供することでお客様の検査の効率化を図ります。
- ベリサーブは、Black Duck(OSS管理ツール)のご提供だけでなく運用サポート等のサービスのご提供を重視しております。10年以上にわたるベリサーブの豊富な経験・知見を元に、お客様におけるOSS管理/運用の課題解決を支援いたします。
ベリサーブは、Black Duck開発元の
Synopsys社より「2022 Best Sales of
the Year」を受賞しました。
Black Duckのモジュール構成とライセンス体系
Black Duck は本体であるStandard Editionと3つのオプション、および暗号モジュール、バイナリ解析モジュールをそれぞれ独立して選択することが可能です。
モジュール構成
ライセンス体系
価格
Black Duckのライセンスは年間サブスクリプションでの提供となります。
価格については選択されたオプション構成、およびスキャンするソースコード容量により変動しますのでお気軽にお問い合わせください。