Service

OSS管理ソリューション「Black Duck」

Black Duckは、アプリケーションに含まれるオープンソース(OSS)に起因するセキュリティ脆弱性や、ライセンス違反などのリスクを管理する解析ツールです。オープンソース関連のリスクを、アプリケーションライフサイクル全体を通して管理します。

導入メリット

  • POINT1 利用OSSとその脆弱性を即時確認できるので、対応による手戻りを防止できます。
  • POINT2 監視・アラート機能により、リリース後もソフトウェアの品質を高く保持できます。
  • POINT3 社内で利用実績のあるOSS情報を共有し、リスクの撲滅や効率化が実現できます。

オープンソースソフトウェア(OSS)利用における課題

オープンソースソフトウェア(OSS)は、開発効率向上やコスト削減の観点から、多くのソフトウェア開発プロジェクトで利用されていますが、一方でその利用に際して、留意すべき課題も存在します。

OSS管理 ・OSS取り扱いポリシーの策定
・運用プロセスの策定
・監査、運用体制
セキュリティリスク ・脆弱性管理、対応
・不具合対応
コンプライアンス ・OSSライセンス対応

これらの課題への対策が不十分な場合、

  • ライセンス違反による、損害賠償請求、企業イメージの低下
  • 脆弱性の混入による、サービスの停止、個人情報などの機密情報流出

などのリスクに直結することになります。

ソフトウェア開発において、

  • どのようなOSSが使われているか
  • OSSの脆弱性を把握し、対策できているか
  • OSSの使用許諾条件を遵守しているか

を正確かつ、タイムリーに管理することは必須事項と言えます。

Black Duckの全体像

Black Duckは、100万以上のOSSデータベースを利用し、お客様の製品コードの中から、OSSを自動的に特定し、ライセンス情報、脆弱性情報、運用上のリスク情報を可視化、提供します。

Black Duckの紹介

Black Duckの特徴

視認性の高いダッシュボード

ダッシュボードではOSSに関する各種リスクについてひと目で確認できます。新規脆弱性の通知や、ライセンス情報、脆弱性の詳細表示、レポートの生成などが可能です。

ダッシュボード(全体)

Black Duckの特徴1

ダッシュボード(プロジェクト)

Black Duckの特徴2

確実なリスク検出

検出したOSSに既知の脆弱性が存在している場合、その脆弱性を表示します。

脆弱性情報はNVD(National Vulnerability Database)から最新の情報を1日3回(8時間ごとに)確認しています。

新たな脆弱性が公表された場合、過去に1度スキャン済みであれば、再スキャンをすることなく新規脆弱性通知が届きます。脆弱性はNVDが発行しているCVE番号ごとに確認が可能です。

  • CVE番号ごとに脆弱性への対応状況のステータス管理が可能
  • CVE番号から、影響のあるソフトウェアやプロジェクト一覧への逆引きが可能

スニペットマッチ機能

1ファイルずつ中身を確認し、関数レベルでのOSS流用を検出する機能です。

掲載されている製品名、会社名、サービス名、ロゴマークなどはすべて各社の商標または登録商標です。