ソフトウェア・アプリケーションは利用者のもとに届くまでに、無数の開発者と関わり、オープンソース、独自開発、サードパーティのコードで構成され、人間、AI、自動ツールによって構築されます。Black Duckはこの複雑なソフトウェア・サプライチェーンを可視化し、この過程で意図せず持ち込まれる悪意のある脅威に対処します。
アプリケーション依存関係の管理
オープンソースの依存関係を識別し、コンポーネント・メタデータとリスク指標に基づいて自動的に使用を制限します。
ソフトウェア・サプライチェーンのリスクの軽減
セキュリティの脆弱性とマルウェアがないか、アプリケーションの依存関係を絶えず監視します。
透明性の確保による信頼の構築
SBOMの生成と安全な開発プラクティスにより、業界要件と顧客要件を満たします。
包括的なソフトウェア・サプライチェーン・セキュリティ・ソリューションによるリスクの管理
見落としの解消
標準的な識別方法を使用して解決できるオープンソースの依存関係はわずか75%にすぎません。Black Duckは宣言的な手法と非宣言的な手法を組み合わせて使用することで、インクルード方法、使用言語、ソース・コードにアクセスできるかどうかに関係なく、プロジェクトで使用されるオープンソースの依存関係をすべて特定します。
セキュアなアプリケーションの構築
脆弱性から設定ミスまで、曝露した機密情報から安全でないパイプラインまで、攻撃者はあらゆる要素を使用してソフトウェア・サプライチェーンに侵入しようとします。Black Duckは静的解析とバイナリ解析を使用して、ビルド・アーティファクト内に残された機密情報と安全でない設定を明らかにします。Black Duck Security Advisoriesでは、チームがオープンソースの脆弱性に優先順位を付けて修正できるよう、きわめて重要な指標を提供します。
SBOMによる永続的な可視化
ソフトウェア部品表 (SBOM) はソフトウェア・サプライチェーンのリスクを特定するためにきわめて重要であり、現在多くの業界で義務付けられています。Black DuckはサードパーティのSBOMをインポートし、宣言された依存関係を内部プロジェクトとまとめて、ファーストパーティのSBOMをSPDXおよびCycloneDX形式でエクスポートします。標準テンプレートとカスタム・テンプレートを使用することで、各種の顧客要件および業界要件に合わせたSBOMを生成できます。
規制に関する懸念への対処
組織が高まるサイバーセキュリティの脅威、データ・プライバシーの懸念、さらなる透明性を求める圧力に直面する中で、ソフトウェア・サプライチェーンの規制はその重要性を一層増しています。Black Duckは組織がセキュアな開発プラクティスを構築し、NISTのセキュア・ソフトウェア開発フレームワーク (SSDF) など、数多くの規制および要件への準拠を準備するために役立つソリューション一式を提供しています。
リスクを持ち込まないAI活用
Gartner®は、2025年末までにすべての新規作成コードの半分以上がAI生成されたものになると予測しています。組織は新たなリスクの持ち込みを心配することなく、この生産性向上テクノロジーを活用する必要があります。Black DuckはAI生成コードが作成された時点でこれを解析し、ソース・コード管理またはビルド・パイプラインにコードが移行される前にライセンス・コンプライアンスの問題とセキュリティ上の懸念事項を特定します。
自動化によるコンプライアンスとスピードの達成
ソフトウェア開発という目前のタスクに集中し続けながらセキュリティの脅威を効果的に特定して軽減するためには、自動化が不可欠です。Black Duckの自動化ソリューションは脆弱性をスキャンし、依存関係を管理し、レポートを生成し、セキュリティおよびコンプライアンス・ポリシーを適用します。
ソフトウェア・サプライチェーンのリスク管理に役立つリソース
