東芝情報システム株式会社

オープンソースの脆弱性検出・修復管理 「Black Duck」 オプションモジュール

基本モジュール(Visibility Module)に加えて、お客様の用途に合わせて自由にオプションモジュールを追加できます。

脆弱性の検出と回避手段の情報提供
(Security Module)

NVD*よりも早く、新しい脆弱性情報を収集

オープンソース・コンポーネントは、日々新たな脆弱性が発見されています。製品をリリースした後も、使用しているオープンソース・コンポーネントの脆弱性が見つかることもあります。リリースした製品の脆弱性情報をいち早く入手することは非常に大切です。

Black Duckセキュリティアドバイザリ (BDSA) 機能では、BlackDuck独自の脆弱性のデータを活用することにより、登録までに数日かかるNVD*よりも早く、新しく報告された脆弱性の最新情報を収集します。

また、脆弱性が発見された場合に、利用可能な修正の有無の表示・発見された脆弱性に対しての攻撃の有無・発見されてからの経過日を閲覧することが可能です。

脆弱性の回避策・脆弱性のプロファイリング、検知された脆弱性が影響したプロジェクトの解析などにも役立ちます。また、検出された脆弱性情報は通知として確認することができます。

*NVD:National Vulnerability Database セキュリティの脆弱性情報

Security Module1
Security Module2

OSSコンポーネントに定義されているライセンスを判定
(License Compliance Module)

スニペットマッチ分析(OSS部分一致検出)

大規模ソフトウェア開発では、オープンソースソフトウェアを利用することで開発期間短縮、開発コスト削減に繋がっています。しかし、オープンソースは部分的に使用する場合でも、そのオープンソースに関連付けられているライセンスを遵守する必要があります。
部分的に使用されているものは気づきにくく、特にレガシーのソースコードをバージョンアップし続けて利用している場合では、どのオープンソースをどこで使用しているかを手作業で探すことは非常に手間がかかります。

スニペットマッチ機能は、プロプライエタリファイルやプロプライエタリディレクトリに移されたファイルで使用されているオープンソースコードの断片を検出します。さらに、候補となるオープンソースコードが複数表示され、使用されている可能性の高い順に表示します。

ライセンス情報・修正情報の提供

オープンソース・ライセンスのコンプライアンス違反のリスクを避けるためのオープンソースのライセンス情報を提供します。

多くのオープンソース・ライセンス情報を含んでいるため、適用されるライセンスの特定・ライセンスに関連のある法的リスクの管理が可能です。

また、ライセンスの修正に関する情報、オープンソース・ソフトウェア通知レポートの自動生成、カスタムライセンスの作成を行うことができます。

ライセンスの管理、カスタムライセンスの作成

License Compliance Module ライセンスの管理、カスタムライセンスの作成
License Compliance Module ライセンスの管理、カスタムライセンスの作成

スニペットスキャン

BlackDuckのスニペットマッチ機能を使用して、ソースファイルに組み込まれているオープンソースコードの断片を検出し、Black Duckナレッジベースファイル内のオープンソースコードと一致するコードを表示します。
また、スニペットマッチは、オープンソース利用時の法的リスクを管理してライセンス違反の可能性を検出する際に役立ちます。

License Compliance Module スニペットスキャン
License Compliance Module スニペットスキャン

お客様社内での運用ルール/ポリシーの定義
(Policy Module)

運用ルール/ポリシーの管理

オープンソース・コンポーネントは、契約ごとに使用するための権限など利用規約があります。規約違反や著作権法違反を防止し安心して使用するために社内でのルール決めが大切になります。

Policy Moduleは、オープンソース・コンポーネントの使用ルールなどのポリシーを全社およびプロジェクト単位で作成する機能を提供します。オープンソース・コンポーネントの使用管理におけるルール作成と運用の手助けをします。

また、BlackDuckの通知機能を使用して、使用しているソースコードが運用ルールに違反しているかどうかを確認できます。これにより、脆弱性情報と同様に、ポリシー違反が発見された場合にも通知を受け取ることが可能になります。

Policy Module
Policy Module

バイナリに含まれる OSSコンポーネントの検出と分析
(Black Duck Binary Analysis)

ソースコードがない状態でも解析可能

リリース済みのアプリケーションに脆弱なオープンソース・コンポーネントがあると、攻撃者に侵入の糸口を与えることになります。

Black Duck Binary Analysis を使用することで、ソフトウェアライブラリ、および実行可能ファイルなどで使用されているベンダー提供のバイナリのオープンソースに潜むリスク(セキュリティ上のリスク、品質リスクなど)を識別します。さまざまなファイルタイプをサポートしており、ソースコードがない状態でも解析できます。そのため、さまざまなファームウェア形式、ファイルシステム/ディスクイメージなど複数のインストーラ形式を解析することができます。

Black Duck Binary Analysis

OSS中に使用されている暗号アルゴリズムの検出と特定
(Cryptography Option)

暗号アルゴリズムの検出

オープンソース、アプリケーションに含まれる暗号情報を特定することにより、セキュリティおよび輸出規制への遵守のサポートを行います。

Cryptography Option では、オープンソース・コンポーネントに含まれる暗号アルゴリズムの検出を行い、その暗号アルゴリズムについての各種情報をお届けします。

Cryptography Option

お気軽にお問い合わせください。

電話番号044-246-8320

受付時間:9:00~17:45
但し、土曜・日曜・祝日および当社休業日を除く