Black Duck Hub ソフトウェア・コンポジション解析

Black Duck Hub ソフトウェア・コンポジション解析 アプリケーション・ライフ 概要 サイクル全体にわたる Black Duck Hubはオープンソースを利用した開発におけるライセンスコンプライアンス管理と オープンソース・セキュリ セキュリティ脆弱性管理の自動化を支援します。 ティおよびライセンス・ Black Duck Hub は次のように使用できます。 リスクの管理を自動化 • ソースコードをスキャンし、使用中のオープンソースの名前やバージョンを特定する • 使用中のオープンソースに対して既知の脆弱性を自動的にマッピングする Black Duck Hub対応テクノロジー • 優先順位の決定 – リスクを評価して脆弱性に優先順位を付ける 言語(最適化済み) • TeamCity • 企業の管理ポリシーをHubに反映し、重要リスクを可視化する • C • Bamboo • C++ • Team Foundation • 脆弱性の修正ステータス管理し、チーム内で共有する • C# Server • オープンソースコミュニティの活性度をリスクとして可視化する • Erlang • Travis CI • CircleCI 静的解析ツールは、開発者がコードを記述する際の記述内容、メモリーリークなど脆弱性につな• Golang • Java • GitLab CI がるコーディングを発見することに注力していますが、本手法では脆弱性のうち、ごくわずかな • JavaScript • Visual Studio ものしか見つけることができません。開発者はオープンソースを使用して開発サイクルを革新し、 • Node.js Team Services 加速させることができます。世界中で情報漏洩など実害をもたらしたセキュリティ脆弱性である • Objective-C • Concourse CI • AWS CodeBuild Heartbleed、Shellshock、Poodle、Ghostは広く一般的に使用されているオープンソースコ• Swift • Perl • Codeship ンポーネントに内在し、その影響度合いの大きさを浮き彫りにしました。しかしながらオープ • Python バグ・不具合トラッカー ンソースのセキュリティ脆弱性は、毎年4,000件以上報告されておりオープンソース脆弱性はコ • PHP • JIRA ミュニティの拡大と機能の拡充により今後も増えることが予想されています。 • R バイナリーおよび • Ruby ソースリポジトリ Black Duck Hubは、セキュリティおよび開発チームが、アプリケーションやコンテナ内のオー • Scala • Artifactory プンソース関連のリスクを特定し、軽減するのに役立ちます。 • .NET • Nexus パッケージ・ • GitHub マネージャ アプリケーション・ • NuGet セキュリティ・スイート 主な機能 • Hex • IBM AppScan • Vndr • Micro Focus Fortify Black Duck のみが提供する機能： • Godep • SonarQube • 多種多様な開発言語とCI/CDツールとのインテグレーション • Dep • ThreadFix • Maven • 業界最大級のオープンソースソフトウェアのデータベースクラウド・ • Gradle テクノロジー • セキュリティ脆弱性の修正およびステータス管理• Npm • CocoaPods クラウド・プラットフォーム セキュリティの第一歩は可視化 • Cpanm • Amazon Web • Conda Services ソースコードに存在するオープンソースを可視化することが、オープンソースのセキュリティ確 • Pear • Google Cloud 保のための第一歩です。可視化とは、どんなオープンソースコンポーネントが使用されているか • Composer Platform を把握するだけでなく、どの製品のどのバージョンで、どのように使用されているか把握するこ • Pip • Microsoft Azure とを意味します。 • Packrat コンテナ・プラットフォーム • RubyGems • Docker 市場にあるいくつかのソリューションは、開発チームが使用していたオープンソースを追跡する • SBT • OpenShift ためにパッケージマネージャを読み込みます。本アプローチは、手動追加したオープンソースコ DevOpsツール • Pivotal Cloud Foundry ンポーネント、パッケージマネージャを使用しないプログラム、オープンソースコンポーネントIDE • Kubernetes が別のオープンソースコンポーネントを内包（サブコンポーネント）している場合に正しく機能 • Eclipse データベース しません。その結果、正しいオープンソースコンポーネント一覧の入手に失敗し、セキュリティ• Visual Studio IDE • PostgreSQL およびコンプライアンスリスクを増大させてしまいます。CIツール • Jenkins synopsys.com |

「私達は実績、操作性、結果の Black Duck Hubのみが、可能な限り最も完全なオープンソースコンポーネントの部品表（BOM） 信 頼 性 の3つ の 理 由 でBlack を生成することができます。使用中のオープンソースの発見するために複数のアプローチを採用 Duckを選択しました。また、 しています。Black Duckソリューションはビルドプロセスモニタリングとファイルシステムス クラウド対応のソリューション キャンを組み合わせて、ビルド中に特定された依存関係を含め、使用中のすべてのオープンソースを追跡します。これにより、マッチングの精度を高め、誤検知を減らし、リスクの低減と作業 を探していました」 負担の軽減の両方を実現します。 －Copperleaf Black Duck Hubはお客様のプロジェクトに新しく追加されたオープンソースがあるか継続的に モニターします。結果、即時性が求められるセキュリティリスクを開発の上流で発見することが でき、安全かつ効率的なオープンソース管理を実現します。開発者およびセキュリティ担当者は 発見された脆弱性をレビューし、優先順位付けをし、修正日の設定、解決したかどうか追跡する ことができます。Black Duck Hubは、お客様のアプリケーションで使用されているオープンソー スに対して、後から報告された新しい脆弱性がないかをモニタリングするため新規脆弱性にも迅 速に対応することができます。 BLACK DUCK HUB の主な機能 DevOpsとのインテグレーション 様々なインテグレーションを用意しコミュニティを通じてお客様にご利用いただけるように準備してお ります。例としてDevOps全般に関わる‘Hub Detect’を使用すると、既存の開発ツールとプロセスに Black Duck Hubを簡単に統合できます。パッケージマネージャを利用した開発において適切な構成表 を作成します。お客様はオープンソースのセキュリティ脆弱性早期発見やコンプライアンスリスクの有 無確認のために利用可能なインテグレーションを選択可能です。 カスタマイズ可能な部品表（BOM) 編集可能なオープンソースBOMと、自動スキャン、ビルドツール、パッケージマネージャのマニフェス トから得られた結果、手作業での入力を組み合わせてコードの可視性を実現します。 自動的な脆弱性マッピングとアラート アプリケーションのオープンソースに関連する既知の脆弱性を特定し、影響を受ける新しい脆弱性が報 告されたときに開発者に向けて情報を通知します。 拡張された脆弱性データ Black Duck Hubは業界最大規模のオープンソースデータベースであるKnowledgeBaseと連携しセ キュリティ脆弱性を関連付けます。KnowledgeBaseに内包されるセキュリティ脆弱性情報を世界中の セキュリティサイトから収集し、お客様のコードに潜在するセキュリティリスクに対してピンポイント で必要な情報を発信します。KnowledgeBaseには下記の項目が含まれます。 • 脆弱性の詳細な技術情報 • 影響を受けるプロジェクトおよびコンポーネントのインデックス • CVSS 2およびCVSS 3メトリクス • CWEデータ • 攻撃される可能性と結果 • コンポーネントレベルの修正内容、ガイダンス 修正の追跡 個々のプロジェクトで検出された脆弱性に対してステータス管理が可能です。修正ステータスは別のプ ロジェクトから参照させることができ、社内のナレッジとして蓄積することができます。 ポリシー管理 オープンソースプロジェクト、ライセンスのタイプ、脆弱性の許容度に対するポリシーを設定します。 ポリシー違反をすばやく特定し、プロジェクト別またはコンポーネント別に例外管理できます。 スニペット・マッチング ソースコードに含まれるオープンソースを断片レベルで検出します。独自開発したプログラムにオープ ンソースが部分的に紛れ込んでいるかどうかを検出する際に効果を発揮します。 リスクダッシュボードとレポート セキュリティ、ライセンス、コミュニティ活動のリスクおよび修正の進行状況を表示するわかりやすい ダッシュボードとレポートを使って、プロジェクト内および複数プロジェクト間のリスクを分析します。 シノプシスの特色 シノプシスは、お客様の SDLC とサプライチェーンにインテグリティ（セキュリティと品質）を組み込むための極めて包括的なソリューションを ご提案します。最先端のテスト技術、自動解析、エキスパートが一体となって、堅牢な製品およびサービスのポートフォリオを構成しています。 このポートフォリオを利用してプログラムをカスタマイズすることで、開発プロセスの初期段階での不具合や脆弱性の検知および修正が可能にな り、リスクを最小化しつつ生産性を最大化できます。シノプシスは、アプリケーション・セキュリティ・テストのリーダーとして認められており、 IoT、DevOps、CI/CD、クラウドといった新しいテクノロジーやトレンドにベスト・プラクティスを適用できる独自の地位を確立しています。テ ストが終了しても、終わりではありません。オリエンテーションから展開の支援、的を絞った修正の手引き、さまざまなトレーニング・ソリュー ションまでを提供することで、お客様の投資を最大限に有効化します。まだ対策を始めたばかりか、あるいはすでに着実に進めつつあるかを問わず、 シノプシスのプラットフォームを利用することで、ビジネスを推進するアプリケーションのインテグリティを確保できます。 詳しくは、www.synopsys.com/jp/software をご覧ください。 日本シノプシス合同会社 ソフトウェア インテグリティ グループ 〒158-0094 東京都世田谷区玉川 2-21-1 二子玉川ライズオフィス Email: sig-japan-sales@synopsys.com TEL: 03-6746-3600 www.synopsys.com/jp/software ©2018 Synopsys, Inc. All rights reserved. Synopsysは Synopsys, Inc. の米国およびその他の国における登録商標です。Synopsysの商標に関しては、 こちらをご覧ください。http://www.synopsys.com/copyright.htmlその他の会社名および商品名は各社の商標または登録商標です。 04/10/18. BDHub-DS-A4_JP.