東芝情報システム株式会社

OSS(オープンソースソフトウェア)の脆弱性対策の不安を解消する具体策

OSS の脆弱性対策の不安を解消する具体策
新たに発見される脆弱性に素早く対処する方法とは?

OSS の脆弱性対策「3つの課題」 ~ OSS 活用が不安になるワケ ~

1. 利用するコンポーネント
脆弱性があるか心配

脆弱性のリスク

製品に組み込んでいる OSS のコンポーネントに脆弱性があるかわからないことが多い。どう調べたらよいのかもわかりません。

2. OSS の脆弱性をいち早く発見
するのに時間がかかる

脆弱性をいち早く発見

OSS を活用することで開発の生産性は高くなりますが、脆弱性をいち早く発見し対処しなければ品質の担保ができません。

3. OSS を組込んだ製品の出荷後
新たに発見される脆弱性に
気付けない

脆弱性の把握

OSS を組み込んだ製品の出荷後は、新たに発見される脆弱性の検知と対処が必須です。しかし、なかなか気がつくことができません。

3つの課題を解決する具体策「Black Duck」 なぜ3つの課題を解決できるのか?

3つの課題を解決する具体策こそが、「Black Duck」です。

Black Duck は、OSS を安心して利用するために、潜在する脆弱性を自動で検出し、リスクを抑制する最適なソリューションです。

BlackDuck by Synospsy ロゴ

特長

  • OSS を自動で検出・可視化できる
  • 脆弱性リスクを警告できる
  • 継続的に監視できる

Black Duck で3つの課題が解決できる理由

理由1:「利用するコンポーネントに 脆弱性があるか心配」を解決できる理由

Black Duck は、OSS を自動的に検出し、可視化します。その後、脆弱性の有無を分析・監視します。

そのため、利用するコンポーネントに脆弱性がある場合は、Black Duck が自動的に検出して警告します。

古い脆弱性から最新のものまで対応しているので安心して OSS を活用できるようになります。

理由1

理由2:「OSS の脆弱性をいち早く発見するのに時間がかかる」を解決できる理由

Black Duck は、OSS の脆弱性を常に監視し自動的に検出します。利用している OSS や、それらに含まれる脆弱性が一目でわかるようになります。

さらに、CVSS*(共通脆弱性評価システム)に基づき脆弱性の深刻度をスコアリングして報告してくれるので、何から対処すべきかの判断が即座に行えます。

すぐに発見でき、すぐに対応できるのが Black Duck の特長です。

*CVSS (Common Vulnerability Scoring System) :共通脆弱性評価システム
ソフトウェアや情報システムに含まれる脆弱性の深刻度を評価する手法の一つです。「基本評価基準」、「現状評価基準」、「環境評価基準」の3つの指標があります。システムの種類やベンダーなどによらない共通の尺度で定量的に比較ができます。

理由2

理由3:「OSS を組込んだ製品出荷後、新たに発見される脆弱性に気付けない」を解決できる理由

Black Duck は、製品出荷後でも自動で継続的に OSS を監視しているため、新たに発見される脆弱性をすぐに検知することができます。

これまで人による脆弱性チェックにより、属人化や工数拡大が大きな負担となっていた製品出荷後の業務を軽減することができます。しかも検知だけでなく、開発者に警告を通知することも可能なため対応が後手に回ることがありません。

理由3

Black Duck で解決することによる「2つのメリット」

Black Duck を活用して3つの課題を解決すると2つのメリットがあります。

メリット1:OSS を組み込んだ製品開発の期間短縮

時間短縮

Black Duck は OSS の脆弱性チェックを継続的に監視するツールです。

人によるチェックの属人化を解消し、その工数を大きく削減できます。脆弱性チェックの担当者からチェック業務を解放し、本来業務(製品開発など)に集中してもらうこともでき、開発の人手不足解消に貢献する可能性もあります。

このため、製品開発の期間短縮に貢献します。

メリット2:OSS を組み込んだ製品開発の信頼性向上

信頼性向上

OSS を活用した製品開発では、脆弱性リスクの低いバージョンを活用することと、開発途中や完了後の継続的な脆弱性チェックとその対応が製品の信頼性の高さに繋がります。

Black Duck は、OSS の脆弱性リスクの低いバージョン選定の判断基準を提供し、かつ、開発途中や完了後でも脆弱性チェックを継続します。

さらに脆弱性の危険度はCVSS(共通脆弱性評価システム)に基づき判断しているため、何から対応すべきかの優先順位づけも客観的に行えるようになります。

こうした仕組みを実装しているため、開発段階、納品段階において、より安全な製品開発が実現します。

Black Duck 詳細情報

Black Duck に関する検討用資料のご案内や、導入相談、お見積り依頼などのお問い合わせをお受けしております。

Black Duck 概要資料

Black Duck の概要をまとめた資料です。

Black Duck 詳細資料

Black Duck の詳細をまとめた資料です。

見積り依頼

Black Duck のお見積り依頼です。

ご相談

Black Duck のご相談をお受けしております。

↑ページトップへ

お気軽にお問い合わせください。

電話番号044-246-8320

受付時間:9:00~17:45
但し、土曜・日曜・祝日および当社休業日を除く