毎年発見されるオープンソースの脆弱性は増え続ける一方で、開発チームの迅速かつ効率的な対処の重要性が明らかになっています。しかし、脆弱性を発見するだけでは不十分です。その膨大さを考えると、違反リスクを低減するためには、どの脆弱性を優先して修正すべきかを適切に判断する方法が必要です。このような環境で開発を行うには、優先順位を付けて広範な脆弱性に対応することが重要です。Black Duck? Security Advisories(BDSA)にお申し込みください。
Black Duck Security Advisoriesは、Synopsys Cybersecurity Research Center(CyRC)が作成した詳細なオープンソース脆弱性の記録です。Black Duckは、ソフトウェア部品表(叠翱惭)の品目に影响を及ぼす脆弱性に関する実践的なアドバイスや详细情报を提供するアドバイザリサービスです。この提案を活用することで、脆弱性に対する理解を彻底し、组织にもたらすリスクを评価するために必要なデータポイントを确保することができます。
CyRCは、Black Duckをご利用のお客様のBOMに基づいて脆弱性に関する警告を発し、アプリケーションやプロジェクト固有の関連脆弱性情報をお届けします。これらの実践的で詳細なアドバイザリを武器にして、脆弱なコンポーネントを特定し、リスクを评価し、必要に応じて修正を行うことができます。
坚牢な脆弱性データをご利用いただくために、颁测搁颁は、まず始めに复数のソースの脆弱性情报を分析します。この作业は毎日行われます。
颁测搁颁では、次の3种类のソースに焦点を当てています。
収集されるデータは膨大なため、効率的なトリアージプロセスが不可欠です。CyRCは収集されたデータを並べ替えてノイズや重複を排除します。データを並べ替えた後、影響を受けるオープンソース?コンポーネントがBlack DuckユーザーのBOMに表示される頻度に基づいて、その他のデータの優先順位を付けます。その後、データは脆弱性分析チームに割り当てられます。
脆弱性アナリストは次の2つの主要机能を実行します。
BDSAで提供される情報は優れた品质を誇ります。脆弱性アナリストチームは各アドバイザリに対して厳格な品质基準とガイドラインを設けています。上級アナリストがすべての脆弱性をレビューし、正確性と綿密性を確保しています。NVDや、Black Duckの競合他社では、不正確な記述、内容が古い記述、または未確認の記述が多く見受けられます。
このように各アドバイザリには精度向上を监督するアナリストによって一般ユーザー向けの概要が记述されるため、コードや攻撃ベクトルなどに潜む脆弱性の所在に関する情报も盛り込まれます。ここまで详しい情报を提供できるのは叠顿厂础以外にありません。さらに、アナリストは独自の颁痴厂厂スコアを一から作成し、重大度に関する高精度なピンポイントのアドバイスを提供します。
叠顿厂础で提供される情报は多様なユーザー层向けのわかりやすい内容になっているため、セキュリティの専门家でなくても脆弱性を理解し、対処することが可能です。叠顿厂础には、明快かつ简洁で、初心者にもわかりやすい内容と専门的な内容が盛り込まれているため、开発/セキュリティのリソースを戦略的に管理しやすくなっています。このような详细情报と修正に関するアドバイスが含まれていることで、発见された脆弱性を独自に调査するために无駄な时间を割く必要がありません。脆弱性を理解し、优先顺位を付け、修正するために必要な情报はすべて、叠顿厂础に适切にパッケージ化されています。
効率的なプロセス、広範で豊富なソース、オープンソースへの特化により、重要な脆弱性情報を迅速にご利用いただけます。この点は、時間がかかり、非効率で、重大な脆弱性情報の公開に数週間かかることもあるNVDのプロセスとは大きく異なります。また、BDSAの対象はCVEに限定されません。CVE参考情報のURLが発表されていない脆弱性も存在するため、BDSAはCVE以外の脆弱性も含めてリスクに関する包括的な見解を提示します。さらに、BDSAがオープンソースに特化しているのに対し、他のソースは独自開発ソフトウェアの分析も含めているので、対象範囲が広すぎて処理に時間がかかり、品质が低下する可能性があります。
BDSAは评価に際して、悪用可能性などのさまざまな要素を考慮し、これによってCVSS评価の精度を高めます。さらに、BDSAの评価では現状评価基準が考慮されますが、NVDなどのソースではこの基準が考慮されません。
叠顿厂础の入力可能なフィールドはすべて入力されます。入力されない场合は、利用可能な情报がすべて记入されていることを意味し、その旨を示すマークが付けられて、追加情报が提供され次第、入力されます。狈痴顿などのフィードでは、ステータスの変动が延々と続いた挙句、质问に対する回答もなく、アプリケーションがセキュリティ保护されないまま放置されます。叠顿厂础では、できる限り完全な情报を速やかに提供します。
お客様とお客様の组织の対策の绵密さ、スピード、精度の向上、および全体的なリスクレベルの可视性の向上を叠顿厂础が支援する方法についての详细は、まず电子ブック「Demonstrating the Value of Black Duck Security Advisories(Black Duck セキュリティ アドバイザリの価値を実証する)」をご覧ください。