シノプシス ソフトウェア・インテグリティ・グループはブラック・ダックになりました 詳細はこちら

マルチファクター・オープンソース検出

ブラック・ダックのソフトウェア・コンポジション解析(SCA)は、多元的なオープンソース・スキャン技術を提供し、アプリケーションやコンテナに含まれているオープンソースを最も包括的かつ正確に把握できます。シノプシスのオープンソース検出は、ビルド・プロセスの監視、ファイル・システム・スキャン、ソースコード解析を組み合わせることで、多くのSCAツールが見逃しているコンポーネントを含む使用中のすべてのオープンソースのトラッキングが可能です。

package宣言だけでは不十分な理由

他の多くのソリューションは、パッケージ・マネージャの宣言のみを頼りにオープンソース・コンポーネントを識別しています。しかしこれらのソリューションは、次のような場合にコードに紛れ込んでいる可能性がある多数のオープンソースを見逃しています。

  • オープンソースの開発者が追加したコードをパッケージ・マニフェストで宣言していない
  • CやC++などの言語で記述されたオープンソースで、パッケージ・マネージャを使用していない
  • コンテナ内部に構築されたオープンソース
  • コンパイル済みバイナリおよびビルド成果物内のオープンソース
  • AIコーディングアシスタントによって追加されたオープンソース

CI/CDパイプラインに簡単に統合

SCA統合により、オープンソース・スキャンを既存の開発ツールやプロセスに簡単に組み込むことができます。これにより、使われている言語やパッケージ・マネージャを自動的に識別し、ディスカバリに適した統合を設定し、コードを分析する最も効果的な方法を見つけることができます。

統合についての詳細はこちら

関連情報