検索
Japan
OSS管理ツール Black Duck
Black Duckは、組織におけるOSS※1の活用状況とリスクのマネジメントを支援するOSS管理ツールです。包括的なコンポジション解析(SCA※2)機能でライセンスコンプライアンス違反やセキュリティ脆弱性に関するリスクを洗い出し、OSSの安心・安全な活用を支援します。
- ※1 OSS:Open Source Software(オープンソースソフトウェア)
- ※2 SCA:Software Composition Analysis(ソフトウェア構成分析)
「どのOSS管理ツールを選べば良いの?」そんなお悩みを解決するOSS管理のトータルソリューションはこちら
Black Duckの導入で日立ソリューションズが選ばれる理由
このようなお悩みはありませんか?
- 課題
- 解決
-
製品・サービスなどで活用しているOSSをきちんと把握できていない。意図していないOSSが混入していないか、活用しているすべてのOSSを可視化したい。
独自のスキャン機能により、対象ソフトウェアに含まれているOSSを効率よく可視化できます。OSSのソースコードの部分的な流用も見逃しません。
-
OSSの活用に伴うコンプライアンスリスクについて懸念がある。OSSライセンスを理解し、遵守することができていない。
高性能なOSSデータベースを備えており、各OSSに関して、適用されるライセンスや開発コミュニティの活動状況などの豊富かつ重要な情報を参照できます。
-
OSS由来のセキュリティ脆弱性を利用したサイバー攻撃に対応したい。自社製品・システムのセキュリティ堅ろう性を向上させたい。
活用しているOSSに関連する脆弱性の情報をマッチングしタイムリーなセキュリティ対策を可能にするとともに、脆弱性の監視機能を備えており、活用しているOSSに新たな脆弱性が検出された場合にお知らせします。
概要
Black Duck とは
Black Duck(ブラックダック)は、OSSのライセンス違反やセキュリティ脆弱性のリスクを管理するためのOSS管理プラットフォームです。
強力な解析機能と圧倒的な情報量で、あらゆる業界のOSS管理ニーズに対応します。
なぜBlack Duckが選ばれるのか
Black Duckは、2000年代の初頭から長きに渡って顧客ニーズに対応してきたOSS管理のパイオニアであり、市場からの高い評価と信頼を獲得しているブランドです。
世界の2000社以上がBlack Duckを利用
市場調査企業がリーダーとして評価
OSSチェックツールとして高い信頼性
Black Duckの特長
Black Duckを用いたOSS管理の流れとその特長
-
1.スキャン
ソースコードやバイナリを解析し、利用しているOSSのコンポーネント名やバージョンを正確に特定します。
-
2.リスクの検出
OSSのセキュリティ脆弱性、ライセンス違反、運用上のリスク、暗号に関する情報などを明らかにします。
-
3.継続的な管理
OSSに関する脆弱性などの情報を継続的に監視し、新しいリスクが出た場合にアラートを通知します。
1.スキャン
コンポーネントのスキャン
ソースコード内に含まれるOSSのコンポーネント(フォルダー、ライブラリ、バイナリなど)を検出するスキャンです。
ファイルのスキャン
ソースコード内に含まれるOSSのソースファイルを検出するスキャンです。複数ファイルで構成されるOSSの1ファイルのみ利用している場合も検出します。
スニペットのスキャン
ソースコード内に含まれるOSSのコードスニペットを検出するスキャンです。WEB上に存在するコード断片のコピー&ペーストや、改変したOSSのファイルも検出します。
ストリングサーチ
ソースコード内に含まれるOSSライセンスに関する文字列を検出するスキャンです。マッチング系の各種スキャンで発見できなかったコードも検出します。
依存関係のスキャン
パッケージマネージャを使って利用しているOSSライブラリを検出するスキャンです。間接的に依存する大量のOSSもすべて正確に検出することができます。
独自バイナリのスキャン
独自のバイナリに含まれるOSSを検出するスキャンです。他社から納品されたソフトウェアなど、手元にソースコードがない場合にもOSSチェックを行うことができます。
コンテナのスキャン
コンテナに含まれるOSSを検出するスキャンです。WEBに公開されているコンテナ、他社から納品されたコンテナなどに含まれるOSSを検出することができます。
2. リスクの検出
Black Duckの長い歴史の中で築かれた、最も包括的なOSS情報のデータベース「KnowledgeBase」によって、さまざまなリスクを検出することができます。あらゆるOSSの脆弱性やライセンスに関する情報に加え、コミュニティの状況や暗号に関する情報まで明らかにすることができます。
ライセンス違反のリスク
KnowledgeBaseは数多くのオープンソースライセンスに関する情報を保持しており、GPL※1、LGPL※2、Apache Licenseなどの著名なライセンスだけでなく、利用数の少ないライセンスについても幅広くカバーしています。また一般的なライセンスのライセンス全文にくわえ、各ライセンスの属性や義務といった情報も網羅しているため、プロジェクトにおけるライセンス競合についても検出することが可能です。また各OSSについては宣言されたライセンスだけでなく内包するライセンス(Deep License Data)も知ることができるため、ライセンスコンプライアンス遵守に必要な情報を幅広く入手することができます。
- ※1 GPL:GNU General Public License(GNU 一般公衆利用許諾書)
- ※2 LGPL:GNU Lesser General Public License(GNU 劣等一般公衆利用許諾書)
セキュリティ脆弱性のリスク
CVE※1情報だけでなく、独自のデータ「Black Duck Security Advisories(BDSA)」を含む膨大な脆弱性情報を保持しており、リスクの検出に加えて具体的な対策情報の提供まで行います。シノプシスの有識者で構成されるCybersecurity Research Center(CyRC)がOSS脆弱性の監視と情報追加を行っているため、正確でタイムリーな脆弱性情報の受け取りが可能です。
- ※1 CVE:Common Vulnerabilities and Exposures(MITRE社※2が採番を行い、NIST※3が運営するNVD※4によって提供されている共通脆弱性識別子)
- ※2 MITRE社:米国政府の支援を受けた非営利の研究団体の名称
- ※3 NIST:National Institute of Standards and Technology(アメリカ国立標準技術研究所)
- ※4 NVD:National Vulnerability Database(NISTが運営する脆弱性情報データベース)
運用上のリスク
Black Duckは各OSSプロジェクトのコミュニティ活性度に関する情報を保持・追跡しています。アップデート状況、コミット アクティビティ、コントリビュータ数などの情報に基づいて、古くなった・活動的でなくなったOSSとそのバージョンを独自の指標で評価します。運用上のリスクとして得られるこの情報をもとにOSSの採用や移行の判断を行うことができます。
暗号に関するリスク
暗号化機能を持つOSSを含む製品・サービスを海外へ輸出する場合には、法令への対応が必要になる場合があります。Black Duckでは各OSSで使用されている暗号技術の情報を参照できるため、これらの輸出関連業務におけるコンプライアンス遵守の負荷を軽減することができます。
3. 継続的な管理
製品・サービス開発におけるOSS管理は、リリースした後も脆弱性監視・バージョンアップ対応などで継続的に対応が必要になります。Black DuckはSDLC(ソフトウェア開発ライフサイクル)全体において、OSS管理をサポートする機能を提供しています。
-
外部ツール連携(DevOps統合)
OSS管理を継続的に行うために、OSS管理ツールを自社で利用するツール群と統合させることは欠かせません。Black Duckは、CI/CDツール、バグ管理ツール、バイナリリポジトリ、多くの外部ツールと連携することができ、またREST APIによってさまざまな外部ソフトウェアと連携することが可能になっています。
-
ポリシーの設定とアラート
利用しているOSSやそのバージョンに問題が発生していないか継続的にチェックする際に、ポリシーとアラートの機能は非常に有効です。警告を上げる脆弱性の深刻度などをBlack Duckに定義しておくことで、利用OSSに問題が見つかった際には自動的にアラートが通知されます。
-
脆弱性の早期検知と対処情報の提供
世の中に存在するOSS脆弱性のうち、CVE識別番号が付与されるものは一部に過ぎません。また付与された場合でも脆弱性公開後にNVDにリストされるまで数週間を要することもあります。Black Duckが提供するBlack Duck Security Advisories(BDSA)では、NVDよりも早期に脆弱性情報を提供し、また脆弱性の回避方法、修正方法などに関する有用な調査結果も提供します。これによってOSS由来の脆弱性に起因する事故のリスクを確実に軽減します。
-
SBOMおよびレポート(通知ファイル)の生成
OSSを製品・サービスの開発で部品として用いた場合、利用したOSSのリスト(SBOM※1)は基本的にお客様やエンドユーザーに対して提供する必要があります。Black DuckではOSSリストを通知ファイル、CSV、SPDXといった形式で生成することができるので、このようなOSS利用時のコンプライアンス活動の効率化にも活用することができます。
※1 SBOM:Software Bill of Materials(ソフトウェア構成表)
Black Duckの使い方(ユースケース)
Black DuckはSDLC(ソフトウェア開発ライフサイクル)におけるあらゆる場面でOSSのリスク管理をサポートします。
- 計画
- 開発
- テスト
- 運用
スキャン(IDE連携)
開発
シノプシスのプラグイン「Code Sight」を利用して、統合開発環境(IDE)上でBlack DuckによるOSSの脆弱性やライセンスのチェックを行うことができます。
スキャン(クライアントツール)
開発 テスト
Black Duckのクライアントツール(Synopsys Detect)を用いてクライアント環境でスキャンを実行することができます。デスクトップアプリケーションはWindows、Mac、Linuxに対応しています。
スキャン(ファイルアップロード)
開発 テスト
ブラウザーでBlack Duckサーバーにアクセス後、クライアントツールで解析した結果ファイルをドラッグ&ドロップでアップロードすることで、OSSの検出およびリスクの確認を行うことができます。
スキャン(CI/CD連携)
開発 テスト
クライアントツール(Synopsys Detect)のコマンドライン(CLI)をビルドジョブと統合してCI/CD連携でスキャンを行い、継続的なリスク管理を行うことができます。Black Duckの外部ツール統合については「よくあるご質問」をご覧ください。
Black Duck の仕組み
Black Duckの構成について説明します。
-
全般
Black Duckはサーバー・クライアント型のWEBアプリケーションです。オンプレミス環境のマシン、あるいはクラウド環境(AWSやAzureなど)のどちらでも利用することができます。 クライアントアプリケーションにて抽出されたファイル情報を元に、Black Duckデータセンター内のOSS情報データベース「KnowledgeBase」と連携して解析およびリスク検出を行います。
-
Black Duckサーバー
Docker/Kubernetes/OpenShiftの環境で稼働するコンテナベースのサーバーです。比較的容易に環境を構築することができます。サーバーは概ね2か月ごとにアップデートされ、機能拡充が行われています。
-
OSS情報データベース KnowledgeBase
Black DuckのOSS情報データベース「KnowledgeBase」は、シノプシスのCybersecurity Research Center(CyRC)がフォージやリポジトリから膨大なデータを収集している包括的なデータベースで、OSSのプロジェクト、ライセンス、セキュリティ脆弱性に関するさまざまな情報を網羅しています。
Black Duckのことなら日立ソリューションズ
選ばれる理由
日立ソリューションズは多数の実績をもつBlack Duckの国内販売代理店です。
reason 01
Black Duckパートナー
としての長い歴史
10年以上パートナーを務めている企業であり、長年の経験に裏付けられた豊富なノウハウがあります。
reason 02
多くの支援実績
日立グループでの大規模な活用支援をはじめ、さまざまな業界・業種のお客様に対して多くの導入支援、運用サポート、解析支援の実績があります。
reason 03
自社での経験に基づく
ユーザー目線のサポート
自社でも実際にBlack Duckを本番利用しており、さまざまな使い方を把握しています。ユーザー目線での活用アドバイスができる数少ない企業です。
reason 04
OSS管理に関する
トータルサポート
国内企業として初のOpenChain(*)公式パートナーで、国際標準に準拠したコンサルティングを提供できます。お客様の課題解決をツール・プロセスの両面からトータルでサポートすることが可能です。
*OpenChainはOSS管理の国際標準であるOpenChain仕様を定めるThe Linux Foundation傘下のプロジェクトです。
事例
日立ソリューションズではこれまで、製造業、IT系、ゲームメーカーなど、業界・業種を問わずさまざまなお客様にBlack Duckを提供してきました。
関連サービス
Black Duck導入に関連して、以下のようなサービスも提供しております。お客様のご要望に合わせて対応致しますので、ご希望があればご相談ください。※いずれも個別見積となります。
- PoC支援 導入検討時における製品評価作業の支援が可能です。
- サーバー構築支援 利用開始時のサーバー構築の支援が可能です。
- サーバー運用支援 本番利用時におけるサーバーのメンテナンス・アップデートなどの支援が可能です。
- 解析支援 Black Duckの利用方法に関するアドバイスやチェック作業の代行などが可能です。
特典
教育・よろず相談の詳細は「オープンソース管理ソリューション」を参照
よくあるご質問
全般的なご質問
はい、日本語に対応しています。ブラウザーの言語設定に合わせてGUIの表示が変わる仕様になっています。
申し訳ありませんが提供されていません。
スキャンに関するご質問
Black Duck独自のシグネチャスキャンのアプローチはプログラミング言語に依存しません。ファイル情報やディレクトリのレイアウトに基づいてOSSを検出します。
パッケージマネージャー、独自バイナリのスキャンなどの詳細はお問い合わせください。
ソースコードから生成したハッシュ値などのデータが暗号化されて送信されます。元のソースコードに戻すことができない状態で送信されますので、ソースファイルの中身が外部に公開されることはありません。
システム面に関するご質問
以下に示します。
| サーバー | 要件は随時更新されています。最新情報はこちらを参照ください。 https://github.com/blackducksoftware/hub#requirements |
|---|---|
| クライアントツール(Synopsys Detect) | 要件は随時更新されています。最新情報はこちらを参照ください。 https://synopsys.atlassian.net/wiki/spaces/INTDOCS/pages/631275521/Requirements |
以下に示します。
| 統合開発環境(IDE) | Eclipse、Visual Studio IDE、IntelliJ IDEA、WebStorm、PyCharm、RubyMine、PhpStorm、VS Code、Android Studio |
|---|---|
| CIツール | Jenkins、TeamCity、Bamboo、Team Foundation Server、Travis CI、CircleCI、GitLab CI、Visual Studio Team Services、Concourse CI、AWS CodeBuild、Codeship、Azure DevOps、GitHub Actions、OpenShift |
| ワークフローと通知 | Jira、Slack、Email、SPDX |
| バイナリおよびソース・リポジトリ | Artifactory、Nexus |
| アプリケーション・セキュリティ・スイート | IBM AppScan、Micro Focus Fortify、SonarQube、ThreadFix、Cybric、Code Dx |
ライセンス形態と価格
機能モジュール
Black Duckは必須モジュールと、5つのオプションモジュールで構成されています。必要な機能モジュールを選択してご購入いただけます。
容量
Black Duckは管理対象のプログラムの容量に応じて価格が変動します。
価格
- ライセンスは上記の「機能モジュール」および「容量」に応じた年間サブスクリプション価格となります。
- 価格は個別見積りとなります。詳細な見積りをご希望のお客様は、お問い合わせボタンよりご連絡ください。
- ライセンス形態に関するご質問がある場合は、お問い合わせボタンよりご連絡ください。
※Black Duckは、Synopsys, Inc.の米国およびその他の国における商標または登録商標です。
目的別オススメ商品
最終更新日:2021年10月15日