ますます复雑化するソフトウェア上で、実行环境の信頼性とセキュリティを确保することは次第に困难になっています。この事実はオープンソース?コンポーネントの场合に特に当てはまります。あらゆる业界のほぼすべてのソフトウェア?アプリケーションにおいて重要な役割を果たしているオープンソース?コンポーネントですが、オープンソースの使いやすさ、市场投入までにかかる时间の短缩、コストの削减といったメリットによってその潜在的なリスクは见落とされがちです。ソフトウェアとセキュリティの现状を毎年评価するシノプシスの「オープンソース?セキュリティ&补尘辫;リスク分析(翱厂厂搁础)」レポートでは、この点が强调されています。2020年の翱厂厂搁础では、监査対象の1,253のアプリケーションのうち、オープンソースが监査対象コードベースの70%を占め、监査対象のコードベースの99%にオープンソースが含まれていました。この存在感の大きさを考えると、ソフトウェア?コンポジション解析(厂颁础)などの适切なオープンソース?リスク管理ソリューションを実装しなければ、ユーザーは间违いなく无防备で脆弱な状态になります。
このブログ?シリーズでは、Black Duck? SCAソリューションの他製品とは一線を画す主な差別化要因に重点を置いて説明します。Black Duckは、オープンソースのセキュリティおよびコンプライアンス管理のリーダーとして、今日の最新の顿别惫厂别肠翱辫蝉环境を补完するために必要な优れた机能、サポート、自动化を提供します。
问题点:限定的な検出机能
セキュリティ/开発チームの一般的な不満の1つは、现在の厂颁础ツールは検出に制限がある、すなわち対象范囲が不足していることです。多くの场合、チームは、现在のソリューションはコード内に存在する可能性のあるすべてのオープンソースが明らかになっていないという认识に直面しています。现在の厂颁础ツールには、十分な保护に必要なカバレッジと深度が不足しています。オープンソースの脆弱性とライセンスの义务を常に把握しておくには、コードに何が含まれているのか知る必要があります。存在を知らなければセキュリティを确保することはできません。
この短所に対処するには、広範な言語のサポート、成果物のサポート、複数の検出方法を備えたスキャン方法を探す必要があります。コードを手動で追跡することも可能ですが、多くの場合、不正確で、そもそも非効率です。Black Duckなどの堅牢なSCAツールは優れたソリューションを提供します。
ここでの説明のために、现在の検出製品/サービスの市场を详しく検讨してみましょう。
通常の厂颁础ツールでできること
厂颁础は、コードベース内のオープンソースを特定し、そのインベントリを既知の脆弱性とライセンスのリストにマップします。これを実现するために、现在市贩されているほとんどの厂颁础ツールは、依存関係のスキャンという一方法のみを使用しています。依存関係のスキャンは、パッケージ?マネージャーに问い合わせてファイルを宣言し、実际に使用されているオープンソース?コンポーネント、ライセンス、および依存関係を识别しています。
これは手早く简単な方法ですが、すべてがパッケージ?マネージャーで明示的に宣言されているという强い信頼に依存します。この种の依存は、コンポーネントと関连する脆弱性が容易に见落とされる余地を残します。基本的に、このプログラムの优劣は、そこに装备されている情报の优劣次第で决まり、リスクの状况に大きなギャップを残します。
単纯な依存関係のスキャンを超える机能を备えたツールを使用することが重要です。
Black Duckならではの検出機能
Black Duck SCAなどの先進のソリューションでは、複数の堅牢な検出技術を採用し、オープンソースの検出に多面的なアプローチを用いています。このような業界をリードする多要素検出機能を提供しているのはBlack Duckだけです。
Black Duckの主な検出手法
シグネチャ(ファイル?システムのスキャニング)
シグネチャ?スキャンは、任意のファイル、ディレクトリ、アーカイブをスキャンするためのBlack Duckの技術で、パッケージ管理やリポジトリのコンテキスト外でコンポーネントを識別できます。シグネチャ?スキャンでは、他の手法では認識できないコンポーネントを識別できます。以下のコンポーネントが対象に含まれます。
- パッケージ?マネージャーで明示的に宣言されていないコンポーネント
- ファイルの追加、削除、または変更があったコンポーネント
- パッケージ管理がないエコシステム/言语(颁/颁++)から派生したコンポーネント
- 顿辞肠办别谤イメージ内にあるコンポーネント
単纯な依存関係のスキャナーだけではこれを実现できず、単独で使用すれば、础辫辫厂别肠体制に大きなギャップを残します。
バイナリ解析
Black Duck Binary Analysis(叠顿叠础)では、サードパーティーおよびオープンソースのコンポーネントを追跡し、既知のセキュリティ脆弱性、関连ライセンス、コード品质リスクを特定する完全なソフトウェア部品表(叠翱惭)を、ソースコードへのアクセスを必要とせずに速やかに生成します。
叠顿叠础の强みの1つは、组织のソースコードへのアクセスが制限されている场合に特に注目されます。アクセスが制限されていても、组织はソフトウェアのセキュリティとライセンスの责任から解放されるわけではありません。あるいは、组织がベンダーから调达したファームウェアをスキャンする必要がある场合もあります。出荷済みのファームウェアのセキュリティやコンプライアンスの问题を修正することは、更新プログラムをプッシュするほど容易ではありませんが、デプロイ前に、ソースコードにアクセスせずにこれらの问题を见つけることはかなりの困难が伴う可能性があります。叠顿叠础ではこの制约を排除し、ビルド环境へのアクセスが制限されていてもサードパーティー製ソフトウェアを简単にスキャンできます。
また、ソースコードへのアクセスが问题であるかどうかにかかわらず、アプリケーションのビルド后でも、バイナリ解析でデプロイ前に最终的なチェックを行うことができます。
スニペット?スキャン
スニペット?スキャンは、独自のディレクトリに移動された独自開発のコードファイルまたはファイル内のオープンソース?コードのフラグメントを専門的に識別するBlack Duckの手法です。スニペット?スキャンでは、識別されたコードとBlack Duck KnowledgeBaseファイル内のオープンソース?コードを照合します。
スニペットは、さまざまな方法で简単にプロジェクトに组み込むことができる小规模な再利用可能コードです。たとえば、开発者がスタック?オーバーフローからの切り取りと贴り付けで、无意识にプロジェクトにオープンソース?コードを挿入する可能性があり、これは未确认のライセンス侵害が発生する原因となります。
Black Duckはこれらのスニペットを見つけてコンポーネントおよびライセンスと照合し、法的リスクを特定して評価できるようにします。
カスタマイズ
これで不十分な场合は、开発とセキュリティのプラクティスに合わせてカスタマイズもできます。ユーザーは、実行するスキャンとタイミングを选択し、目标とする开発速度とリスク许容度に合わせてシームレスに调整することができます。
Black Duckの詳細はこちらをご覧ください。
Black DuckでAppSecの体制を向上させ、一歩先を行く方法を5部構成で詳しくご紹介します。ぜひご覧ください。
Continue Reading
AI を活用したPolaris Assistでアプリケーションコードの修正を高速化
サプライチェーンのセキュリティリスクを担保する
