定义
ソフトウェア?コンポジション解析(厂颁础)は、コードベース内のオープンソース?ソフトウェアを识别する自动化されたプロセスです。この解析は、セキュリティ、ライセンス?コンプライアンス、コード品质を评価するために実行されます。
公司はオープンソースのライセンスの制限と义务を意识する必要がありますが、その义务の追跡を手动で行うことは骨の折れる作业であり、コードやそれに伴う脆弱性が见落とされがちです。自动化ソリューションとして开発された厂颁础は、この初期のユースケースから、コードのセキュリティと品质を解析できるように拡张されました。
最近のまたは环境では、厂颁础によって「シフトレフト」パラダイムが活気付きました。厂颁础を早期段阶から継続的に行うことにより、开発チームとセキュリティ?チームはセキュリティと品质を损なうことなく生产性を向上させることができます。
厂颁础のしくみ
厂颁础ツールはパッケージ?マネージャー、マニフェスト?ファイル、ソースコード、バイナリ?ファイル、コンテナ?イメージなどを検査します。特定されたオープンソースを基に(叠翱惭)が作成され、を含むさまざまなデータベースと比较されます。
これらのデータベースには、既知の脆弱性や一般的な脆弱性に関する情報が保持されています。NVDは米国政府の脆弱性リポジトリです。シノプシスの内部脆弱性データベースであるBlack Duck? は、オープンソースのプロジェクト、ライセンス、セキュリティ情报に関する业界で最も包括的なデータベースです。
厂颁础ツールは、他のデータベース(通常は商用)と叠翱惭を比较して、コードに関连付けられたライセンスを検出し、コード全体の品质(バージョン管理、贡献履歴など)を解析することもできます。叠翱惭とデータベースを比较することで、セキュリティ?チームは重要なセキュリティおよび法的脆弱性を特定し、迅速に対処して修正することができます
厂颁础が重要な理由
厂颁础の真価はセキュリティ、スピード、信頼性です。オープンソース?コードの手动追跡では、もはや十分ではありません。オープンソースの膨大な量に対応しきれないからです。クラウド?ネイティブ?アプリケーションの普及やアプリケーションの复雑化が进む中、坚牢で信頼性の高い厂颁础ツールが不可欠です。
顿别惫翱辫蝉手法の採用により开発速度が急激に短缩される状况にあって、组织は开発スピードを维持できるセキュリティ?ソリューションを必要としています。自动化された厂颁础ツールがそれを実现します。
厂颁础ツールはパッケージ?マネージャー、マニフェスト?ファイル、ソースコード、バイナリ?ファイル、コンテナ?イメージなどを検査します。特定されたオープンソースを基に(叠翱惭)が作成され、を含むさまざまなデータベースと比较されます。
これらのデータベースには、既知の脆弱性や一般的な脆弱性に関する情報が保持されています。NVDは米国政府の脆弱性リポジトリです。シノプシスの内部脆弱性データベースであるBlack Duck? は、オープンソースのプロジェクト、ライセンス、セキュリティ情报に関する业界で最も包括的なデータベースです。
厂颁础ツールは、他のデータベース(通常は商用)と叠翱惭を比较して、コードに関连付けられたライセンスを検出し、コード全体の品质(バージョン管理、贡献履歴など)を解析することもできます。叠翱惭とデータベースを比较することで、セキュリティ?チームは重要なセキュリティおよび法的脆弱性を特定し、迅速に対処して修正することができます
厂颁础の利点
オープンソース?コードの自动解析は、开発とセキュリティの両面でさまざまな利点をもたらします。
- コードベースとアプリケーション内のオープンソースを完全に可视化
- セキュリティ?リスクの全体像を提示
- コンプライアンス?リスクの全体像を提示
- セキュリティとコンプライアンスをソフトウェア开発ライフサイクル(SDLC)に组み込んで効率化
シノプシスの支援方法
シノプシスのBlack Duck? SCAは、アプリケーションやコンテナに含まれるオープン?ソースの使用によって生じるセキュリティ、ライセンス?コンプライアンス、コード品質のリスク管理を行います。Black Duckは、SCAの分野で業界をリードする製品として評価されています。Black Duckは、サードパーティの依存関係を可視化し、ソフトウェア?サプライチェーンのリスクを管理します。
主な机能:
- マルチファクター?スキャン:依存関係、バイナリ、スニペット、シグネチャのスキャンにより、Black Duckは市場で唯一、多面的なスキャン手法を提供し、依存関係を対象とする競合他社の単一製品では特定できないオープンソースを特定することができます。
- Black Duck KnowledgeBase:Black Duck独自のKnowledgeBaseは、業界で最も包括的なオープンソース、ライセンス、セキュリティ情報のリポジトリであり、NVDなどの無料フィードで見つかる標準的な情報をはるかに凌駕しています。シノプシスの(CyRC)の専門家によって管理されているBlack Duck KnowledgeBaseは、2,650件以上の独自のオープンソースライセンス、132,000件の独自の脆弱性情報、および390万件以上のオープンソース?プロジェクトを網羅しています。
- Black Duck Security Advisories:これらの勧告は、NVDより最大3週間早く、収集され、優先順位付けされたセキュリティ通知を提供します。Black DuckはNVDに記載されていない何千もの排他的な脆弱性についてセキュリティ体制の包括的なスナップショットを提供します。CyRCの専門家によって収集?整理されたBlack Duck Security Advisoriesは、セキュリティ情報の信頼できる情報源です。タイムリーで詳細な説明、重大度スコアリング、高度な修正ガイダンスにより、正確で実践的な情報を提供します。独自の優先順位付けにより、Black Duck Security Advisoriesは最大限の深度とパーソナライゼーション機能を提供します。
- ライセンスの识别:Black Duckは、2,650を超えるオープンソース?ライセンスを追跡することにより、高額の訴訟に発展する可能性があるライセンス違反や重要な知的財産の侵害を防ぐことが可能です。
- ポリシーの设定:Black Duckではポリシー設定をきめ細かくカスタマイズできるため、セキュリティ?アクティビティを効率化できます。
- 摩擦のない统合:Black Duckは、既存のSDLCとツールチェーンにシームレスに统合することで、摩擦を軽减して开発速度の维持をサポートします。
- ソフトウェア部品表(厂叠翱惭): サードパーティのSBOMをBlack Duckにインポートすることで、SBOM管理を簡素化し、依存関係を既知のコンポーネントに自動的にマッピングしたり、カスタムまたは商用の依存関係のために新しいコンポーネントを作成したりすることができます。特定の要件を満たすために、SBOMをSPDXまたはCycloneDX形式でエクスポートします。
- ユースケース:Black Duckはセキュリティチームに役立つだけではありません。DevOpsエンジニア、開発、法務の各チームは、貴重なデータと情報を使用して、組織全体のセキュリティ、コード品質、法的リスクの体制を強化できます。
続きを読む
