東芝情報システム株式会社

オープンソースの脆弱性検出・修復管理 「Black Duck」

大規模ソフトウェア開発では、オープンソースソフトウェア(以下、「OSS」と表記) を利用することで開発期間短縮、開発コスト削減に繋がっています。OSS は無償でソースコードが公開されており、今では、OSS なしで効率的なソフトウェアの開発は難しい状況ではないでしょうか。
しかし、OSS は便利な反面、脆弱性やライセンスの問題などのリスクにさらされています。
Black Duckは、OSS を安心して利用するために、潜在する脆弱性を自動で検出し、リスクを抑制する最適なソリューションです。

OSS 利用における 3大リスク

OSS を利用する上で、気をつけなければいけないリスクは大きく3つ挙げられます。

ライセンスリスク

どんな OSS を利用しているか不明

ライセンスの理解不足

脆弱性

不具合情報がチェックできていない

新しいバージョンを利用できていない

保守・サポート

バグフィックス情報を入手できていない

リスク判定ができていない

OSS を利用するために必要となる対策

Black Duck は、OSS で必要な対策を効率的に管理し実現します。

OSS を自動で識別・可視化する

  • ファイル(ソースコード、RPM等)を読み込み OSS を自動検出
  • 検出した OSS に既知の脆弱性情報をマッピング
  • ライセンスリスク、運用上リスク(バージョンの新旧、コミュニティ活性度)を評価

修復を促す

  • 脆弱性の共通指標による深刻度と影響度のレビュー
  • 重大性判定、優先順位付け
  • 脆弱性リスクへの処置計画の設定とトラッキング機能を提供

継続的な管理をする

  • 開発終了後も脆弱性リスクを監視(新たな脆弱性リスク発生を検知)
  • ツール上での OSS 利用ポリシー作成と適用
Black Duck 仕組み
Black Duck 仕組み

Black Duck ライセンスモジュール

Black Duck ライセンス体系
Black Duck ライセンス体系

基本モジュール(Visibility Module)に加えて、お客様の用途に合わせて自由にオプションモジュール(Policy,Security,Compliance, Black Duck Binary Analysis , Cryptography Option)を追加できます。

基本モジュール(Visibility Module)

OSSの自動検知、セキュリティの脆弱性情報(NVD data)の提供、レポート機能などを含みます。

基本モジュールの詳細をみる

オプションモジュール

用途に合わせて、下記のモジュールを追加することができます。

  • Security Module
  • License Compliance Module
  • Policy Module
  • Black Duck Binary Analysis
  • Cryptography Option

オプションモジュールの詳細をみる

業界で最も包括的なデータベース

Black DuckのオープンソースKnowledgeBase™は、2,650件以上のOSSライセンス情報と、390万件以上のOSSプロジェクトから収集したOSSコンポーネントをカタログ化した、業界で最も包括的なデータベースです。

拡充された脆弱性データ

Black DuckのSecurity Advisoriesは、13万件を超える独自の脆弱性情報と、シノプシス社のCybersecurity Research Centerの研究・分析で得られたデータを活用し、NVDより最大で3週間早く脆弱性情報を提供します。

製造元

お気軽にお問い合わせください。

電話番号044-246-8320

受付時間:9:00~17:45
但し、土曜・日曜・祝日および当社休業日を除く