東芝情報システム株式会社

オープンソースの脆弱性検出・修復管理 「Black Duck」 機能

オープンソースソフトウェア(以下、「OSS」と表記) を安心して効率的に利用するためには、

が必要です。

Black Duckは、OSS を利用する場合に潜在する脆弱性を自動で検出し、リスクを抑制する最適なソリューションです。

ソフトウェアに含まれる OSS の自動検出

  • ファイル(ソースコード、RPM等)を読み込み、使用中の OSS を自動検出
  • 検出した OSS に既知の脆弱性情報をマッピング
  • ライセンス、運用上のリスク(バージョン、コミュニティの活性度)評価
  • さまざまなコンピュータ言語に対応
OSS を自動検出
OSS を自動検出
脆弱性情報 マッピング
脆弱性情報 マッピング

* 画像をクリックすると一部拡大表示します

ライセンス、運用リスクの評価
ライセンス、運用リスクの評価

脆弱性の修復を促す

  • 脆弱性の共通指標による深刻度と影響度のレビュー
  • CVSS*指標を基に脆弱性の評価、重大性判定、対応優先順位を自動判定
  • 脆弱性リスクへの処置計画の設定とトラッキング機能を提供
脆弱性管理とコントロール
脆弱性管理とコントロール

*CVSS (Common Vulnerability Scoring System) :共通脆弱性評価システム
ソフトウェアや情報システムに含まれる脆弱性の深刻度を評価する手法の一つです。「基本評価基準」、「現状評価基準」、「環境評価基準」の3つの指標があります。システムの種類やベンダーなどによらない共通の尺度で定量的に比較ができます。

継続的な監視

  • 開発終了後も脆弱性リスクを監視(新たな脆弱性リスク発生を検知)
  • ツール上での OSS 利用ポリシー作成と適用
ポリシー作成と監視
ポリシー作成と監視

お気軽にお問い合わせください。

電話番号044-246-8320

受付時間:9:00~17:45
但し、土曜・日曜・祝日および当社休業日を除く