シノプシス ソフトウェア・インテグリティ・グループはブラック・ダックになりました 詳細はこちら

支払いの管理、重要な顧客データや患者データの処理、または法規制がある市場の事業を行う場合、顧客の信頼を維持し、法規上の処罰を回避するためには、場合により、適用される規格への準拠を証明する必要が生じます。

SDLC(ソフトウェア開発ライフサイクル)にコンプライアンスを組み込む

ブラック・ダックのツールとサービスは、ソフトウェア・テストを開発ワークフローに統合し、コンプライアンス目標に則して解析と修正を行い、ビジネスにとって最も重要なソフトウェア規格に関するレポートを作成できます。

コンプライアンス・ニーズを満たすためのソリューション

ソフトウェアは、多くの組織にとって重要な差別化要因です。しかし、ソフトウェアを顧客に提供する前に、ビジネスにとって重要なコーディング規約を満たしていることを確認する必要があります。ブラック・ダックのツール、サービス、eラーニングは、ソフトウェアの品質、セキュリティ、安全性、プライバシーに関する多くの規格への準拠の達成を支援します。

航空宇宙および防衛


DISA-STIG

Coverity®静的解析は、アプリケーション・コード内の潜在的なセキュリティ脆弱性と不具合を特定するため、DISA-STIG要件のある組織はこれらのガイドラインに従って問題を追跡し、優先順位を付け、解決することができます。コード・スキャンは、競合状態、エラー処理、オーバーフローなど、DISA-STIGコンプライアンスに影響を与えるさまざまな不具合を明らかにします。

DO-330/DO-178C

Coverityは、航空機システムで使用されるソフトウェアの開発ライフサイクルに統合され、DO-330要件への準拠を妨げる可能性があるコードの不具合を特定します。また、これらのシステムの安全性、信頼性、有効性に影響を及ぼす可能性のある問題を解決するのに役立つ、詳細な修正ガイドラインを提供します。さらに、Coverity検証品質確認キットを使用して、Coverityがエンドユーザーのビルド環境で、DO-178C規格で義務付けられているように適切に設定され動作していることを確認できます。

自動車


AUTOSAR

Coverityでは、コード品質とセキュリティ上の不具合を特定し、この規格の規則に対応付けることによって、AUTOSARの要件をサポートしています。コード・スキャンをプル・リクエストで実行するように自動化して、問題解決が最も容易なSDLCの早期段階で問題を見つけることができます。ネイティブ・レポートを使用して、簡単にAUTOSARコーディング規約を適用し、問題に優先順位を付け、コンプライアンスの証拠を示すことができます。

MISRA

Coverity静的解析は、MISRAコーディング規約をサポートしています。関連のある不具合を特定し、事前定義されたポリシーに基づいてスコアを割り当て、問題に修正の優先順位を付けることができます。コード・スキャンをプル・リクエストでトリガーして、問題解決が最も容易なSDLCの早期段階で問題を見つけることができます。ネイティブ・レポートは、MISRAコーディング規約へのコンプライアンスの証拠を示します。

ISO 26262

ブラック・ダックは、独自開発コードの静的解析、サードパーティー製とオープンソースのコンポーネントの弱点を特定するためのソフトウェア・コンポジション解析、さらにサービスとプロトコル内の不具合とゼロデイ脆弱性を見つけるためのファジングテストを提供することで、組織が安全重視のソフトウェアの開発とテストにおいてISO 26262のコンプライアンスを達成できるよう支援します。さらに、Coverity Qualification Kitを使用して、Coverityがエンドユーザーのビルド環境で、ISO 26262規格で義務付けられているように適切に設定され動作していることを確認できます。

ISO / SAE 21434

ブラック・ダックは、路上走行車載システムのSDLCに自動静的コード解析、オープンソース・コンポーネントの脆弱性スキャン、ファジングテスト、ペネトレーション・テストを組み込むことで、安全なソフトウェア開発のためのISO 21434要件を満たせるよう支援します。ISO 21434に固有の要件に合わせて問題レポートをカスタマイズして、これらの規格への準拠を追跡し、管理することができます。

Hyundaiコーディング規約

Coverity静的解析は、コード品質とセキュリティのチェッカーを提供し、C、C++、Java用のHyundaiコーディング規約に違反する不具合を検出します。ネイティブ・レポートには、すべての未解決の違反の詳細が、各規則の説明とその重大度、優先度、規則に違反した回数とともに示され、セキュリティ・チームは結果に優先順位を付けることができます。

金融サービス


PCI DSS

PCI DSS要件のある企業は、Coverity静的解析とSeeker® IAST機能を利用するとメリットがあります。どちらのソリューションも、カード保有者データとPIIデータが適切に処理されるようにするための、高度な機密データ漏洩チェッカーを備えています。さらに、Coverityは25種類を超える機密データを特定するとともに、PCI DSSコンプライアンスの証拠を示す柔軟性の高いレポートを提供します。

<

医療機器


FDA第524B項

ブラック・ダックのセキュリティ・サービス・チームは、戦略的プランニング、脅威リスク評価、アーキテクチャ・レビューなど、組織がFDAのガイダンスと規格へのコンプライアンスを達成するために必要なツールを計画し、実装できるよう支援します。さらに、Coverity静的解析とBlack Duck®ソフトウェア・コンポジション解析(SCA)により、FDA要件に従ってセキュリティ、品質、ライセンスのリスクを簡単に追跡し、管理することができます。Defensics®プロトコル・ファジングは、開発段階とソフトウェア製造のテスト段階で、医療機器で使用されるプロトコルに関連するセキュリティの問題を予防的に検出します。

官公庁


FedRAMP

ブラック・ダックのAppSecポートフォリオ・チームとサービス・チームは、連邦政府機関や政府請負業者の皆様がAppSec関連のFedRAMP規制と要件にすべて対応できるよう支援します。当社のサービス・チームは、意識向上トレーニングからプランニング、セキュリティ・リスク評価まで、ソフトウェア開発プロセスにインテグリティを組み込むための統合的なアプローチを提供します。静的コード解析、オープンソース・ソフトウェアの継続的な監視、ペネトレーション・テストは、ブラック・ダックのポートフォリオの重要な要素であり、FedRAMP要件へのコンプライアンス状況を追跡して管理し、その証拠を示すことができるよう支援します。

NIST SP 800-161

Black Duck ソフトウェア・コンポジション解析は、セキュアなソフトウェア・サプライ・チェーンの基盤を提供します。連邦政府機関は、規制当局と顧客の要件を満たすために、SPDXおよびCycloneDXソフトウェア部品表(SBOM)を生成できます。サプライヤーが提供するSBOMをシームレスに統合して、サプライ・チェーンのコンポーネントとリスクを包括的に把握することができます。

NIST SP800-218

Black Duckのツールとサービスのポートフォリオは、組織がNIST Secure Software Development Framework(SSDF)の推奨事項、特に「Produce Well-Secured Software(PW)」グループの推奨事項に従う上で役立ちます。Black Duck AppSecサービス・チームは、ソフトウェアに対するリスクを特定して、これらのリスクを最大限緩和するソリューションを設計するための、トレーニング、脅威モデリング、アーキテクチャ評価を提供します。ブラック・ダックのSASTとSCAソリューションは、自社開発ソフトウェアとオープンソース・ソフトウェアの両方のコードのテストを自動化して、SDLCの早期段階で脆弱性とその根本原因を特定するとともに、問題を排除し、同様の不具合が今後発生しないようにするための詳細な修正ガイダンスを提供します。

ブラック・ダックが複雑なコンプライアンス環境に対処するお手伝いをします

開発前、開発中、開発後のコンプライアンスの検証・確保をブラック・ダックが支援します。

ブラック・ダックの多くのスタッフには、ソフトウェアの品質・セキュリティ基準、ポリシー、規制ガイドライン、オープンソース・コミュニティの取り組みに関連する委員会、審議会、ワーキンググループ、プログラム、プロジェクトの専門家としての経験があります。

規格とポリシーの連携に関する記事を見る

オープンソース・コミュニティの取り組みに関する記事を見る