シノプシス ソフトウェア・インテグリティ・グループはブラック・ダックになりました 詳細はこちら

拡充された脆弱性データ

開発中のアプリケーションにオープンソースの脆弱性が潜んでいませんか? 昨日出荷したアプリケーションはどうですか?

毎年、何千もの新たなオープンソース脆弱性が報告されています。市販のソフトウェアとは違って、オープンソースでは、ベンダーによる最新情報の提供や、最新のセキュリティ・アップデート提供の保証はありません。そういうことは自分でやらなければならないのです。

Black Duckの脆弱性データベースは、お使いのオープンソースに含まれている既知の脆弱性に関する包括的なビューを提供しています。また、新たな脆弱性が報告されれば、リアルタイムで警告を通知し、アプリケーションの出荷前でも後でも、ずっと保護し続けます。

拡充された脆弱性データ

NVDを越えて

他のソリューションは、米国政府による標準ベースの脆弱性データの蓄積であるNational Vulnerability Database(NVD:脆弱性情報データベース)のデータにもっぱら依存しています。しかし、NVDに記録されることのない脆弱性や影響を受けたオープンソースプロジェクトは数多く存在しています。また、脆弱性が、公開後にNVDにリストされるまで数週間を要することも珍しくありません。そのリスクを考えれば、のんびり待ってはいられません。

NVDを凌駕するBlack Duck Security Advisories(BDSA)は、ブラック・ダックのCybersecurity Research Center(CyRC)が研究・分析して得られたデータを活用することで、完璧かつ正確な情報収集を実現し、早期の警告と詳細な洞察をお届けします。

オープンソース脆弱性ハッカーとの戦い

オープンソースは広く使われており、オープンソース脆弱性やエクスプロイトもまた広く報告されています。それも多くは同日中にです。それはつまり、数千ものアプリケーションやwebサイトに侵入するためのツールや優先権を、ハッカーたちに与えることになってしまうのです。

脆弱性が公開されると同時に戦いが始まります。侵入を許してしまう前に、アプリケーションのオープンソース に含まれる脆弱性を見つけ、修復しなくてはなりません。Black Duckはこの戦いに勝つための支援策として、お使いのオープンソースの包括的なビューを提供し、新しい脆弱性が報告されればどこよりも早く通知して、すぐに脆弱性を検知・修復できるようにします。

オープンソース脆弱性の監視と報告 | シノプシス

Black Duck Security Advisories
  • 新規に報告された脆弱性の同日(NVDよりも最大3週間早い)通知
  • NVDでは確認できない、数千ものBlack Duck独自の脆弱性データ
  • 実用的な緩和/回避/修正ガイダンス
  • 影響があるアプリケーションへの直接マッピングによるリスク・エクスポージャーの迅速な評価
  • CWEおよびCVSS 2.0/3.0重大度データ
  • 攻撃の証拠と危殆化情報
  • 拡充されたBDSAデータに基づいて、修正のため脆弱性の自動優先順位付けを可能にするポリシー機能

ブラック・ダックは、デプロイメント前からその後までも保護します

新しいオープンソース脆弱性が見つかるのは、オープンソースの発表から数年後、ということも珍しくありません。安全を維持するためには、アプリがデプロイされたずっと後まで、アプリに影響をおよぼす脆弱性を掌握している必要があります。ブラック・ダックは、監視を継続し、新たな脆弱性が(開発中でも本番環境に展開されても)アプリケーションに影響する場合には、自動的に、継続的に、再スキャンすることなく、すぐに警告します。ブラック・ダックは、アプリケーション開発ライフサイクル全体をカバーしています。