東芝情報システム株式会社

開発ツール

オープンソースの脆弱性検出・修復管理 「Black Duck Hub」

オープンソースの脆弱性検出・修復管理 「Black Duck Hub」 概要

Black Duck Software 製

大規模ソフトウェア開発では、オープンソースソフトウェア(以下、「OSS」と表記) を利用することで開発期間短縮、開発コスト削減に繋がっています。そのため OSS の活用が拡大しています。一方、OSS を利用する場合、脆弱性やライセンス違反などのリスクにさらされています。
Black Duck Hub™は、OSS を利用する場合に潜在する脆弱性を自動で検出し、リスクを抑制する最適なソリューションです。

OSS 利用における課題

OSS 利用の可視化

ソフトウェア開発では、利用されている OSS が可視化されておらず、 使用箇所が把握できていないことがあります。

リスクの潜在化

利用している OSS が管理できておらず、脆弱性やライセンス違反などを検知することが出来ていないことがあります。

リスク評価

数ある OSS の中から脆弱性の深刻度の判定や修正を行うには手間やコストがかかることがあります。

必要となる対策

OSS の利用における課題に対して、対策が必要になります。

  • ソフトウェア内に含まれるオープンソースコンポーネントとそのバージョンの把握
  • ソフトウェア内に新たに OSS が組み込まれる際に、自動的にそれを識別する仕組みの確立
  • 新たに発覚する脆弱性による現実的なリスクや影響度の判定
  • 発覚した脆弱性への処置計画のトラッキング

Black Duck Hub 機能

Black Duck Hub は、OSS で必要な対策を効率的に管理し実現します。

Black Duck Hub 仕組み
OSS を識別・可視化する
  • ファイル(ソースコード、RPM等)を読み込み OSS を自動検出
  • 検出した OSS に既知の脆弱性情報をマッピング
  • ライセンスリスク、運用上リスク(バージョンの新旧、コミュニティ活性度)を評価
修復を促す
  • 脆弱性の共通指標による深刻度と影響度のレビュー
  • 重大性判定、優先順位付け
  • 脆弱性リスクへの処置計画の設定とトラッキング機能を提供
継続的な管理をする
  • 開発終了後も脆弱性リスクを監視(新たな脆弱性リスク発生を検知)
  • ツール上での OSS 利用ポリシー作成と適用

製造元

↑ページトップへ

ご質問・資料請求・見積もりなどお気軽にお問い合わせください。

電話番号044-246-8320 受付時間:9:00~17:30
但し、土曜・日曜・祝日および当社休業日を除く