ページの本文へ

Hitachi

株式会社 日立ソリューションズ

日立ソリューションズ『OSS管理ツール Black Duck』のシステム、サービス概要・価格や、解決できる課題についてご紹介します。

OSS管理ツール Black Duck

Black Duckは、組織におけるOSS※1の活用状況とリスクのマネジメントを支援するOSS管理ツールです。包括的なコンポジション解析(SCA※2)機能でライセンスコンプライアンス違反やセキュリティ脆弱性に関するリスクを洗い出し、OSSの安心・安全な活用を支援します。

「どのOSS管理ツールを選べば良いの?」そんなお悩みを解決するOSS管理のトータルソリューションはこちら

Black Duckの導入で日立ソリューションズが選ばれる理由

このようなお悩みはありませんか?

  • 課題
  • 解決
  • 製品・サービスなどで活用しているOSSをきちんと把握できていない。意図していないOSSが混入していないか、活用しているすべてのOSSを可視化したい。

    独自のスキャン機能により、対象ソフトウェアに含まれているOSSを効率よく可視化できます。OSSのソースコードの部分的な流用も見逃しません。

  • OSSの活用に伴うコンプライアンスリスクについて懸念がある。OSSライセンスを理解し、遵守することができていない。

    高性能なOSSデータベースを備えており、各OSSに関して、適用されるライセンスや開発コミュニティの活動状況などの豊富かつ重要な情報を参照できます。

  • OSS由来のセキュリティ脆弱性を利用したサイバー攻撃に対応したい。自社製品・システムのセキュリティ堅ろう性を向上させたい。

    活用しているOSSに関連する脆弱性の情報をマッチングしタイムリーなセキュリティ対策を可能にするとともに、脆弱性の監視機能を備えており、活用しているOSSに新たな脆弱性が検出された場合にお知らせします。

概要

Black Duck とは

Black Duck とは

Black Duck(ブラックダック)は、OSSのライセンス違反やセキュリティ脆弱性のリスクを管理するためのOSS管理プラットフォームです。

強力な解析機能と圧倒的な情報量で、あらゆる業界のOSS管理ニーズに対応します。

なぜBlack Duckが選ばれるのか

Black Duckは、2000年代の初頭から長きに渡って顧客ニーズに対応してきたOSS管理のパイオニアであり、市場からの高い評価と信頼を獲得しているブランドです。

世界の2000社以上がBlack Duckを利用

Black Duckは日本を含め世界中で使われているOSS管理ツールのデファクトスタンダードです。製造、金融、サービス、ゲーム、組み込み機器、その他数多くの業界・業種で利用されています。

市場調査企業がリーダーとして評価

市場調査企業であるForrester Research社が発行するレポート(*)では、ソフトウェア構成分析市場におけるリーダーとして評価されています。

* The Forrester Wave: Software Composition Analysis, Q3 2021

OSSチェックツールとして高い信頼性

Black Duckを用いた調査レポート「オープンソース・セキュリティ&リスク分析レポート(OSSRAレポート)」は、数々の大手メディア・公的機関などから参照されており、OSSの利用実態を示す信頼性の高い情報源として活用されています。

オープンソースソフトウェアの採用率は98%に拡大、脆弱性含む割合も増加の一途

Black Duckの特長

Black Duckを用いたOSS管理の流れとその特長

1.スキャン

コンポーネントのスキャン

ソースコード内に含まれるOSSのコンポーネント(フォルダー、ライブラリ、バイナリなど)を検出するスキャンです。

ファイルのスキャン

ソースコード内に含まれるOSSのソースファイルを検出するスキャンです。複数ファイルで構成されるOSSの1ファイルのみ利用している場合も検出します。

スニペットのスキャン

ソースコード内に含まれるOSSのコードスニペットを検出するスキャンです。WEB上に存在するコード断片のコピー&ペーストや、改変したOSSのファイルも検出します。

ストリングサーチ

ソースコード内に含まれるOSSライセンスに関する文字列を検出するスキャンです。マッチング系の各種スキャンで発見できなかったコードも検出します。

依存関係のスキャン

パッケージマネージャを使って利用しているOSSライブラリを検出するスキャンです。間接的に依存する大量のOSSもすべて正確に検出することができます。

独自バイナリのスキャン

独自のバイナリに含まれるOSSを検出するスキャンです。他社から納品されたソフトウェアなど、手元にソースコードがない場合にもOSSチェックを行うことができます。

コンテナのスキャン

コンテナに含まれるOSSを検出するスキャンです。WEBに公開されているコンテナ、他社から納品されたコンテナなどに含まれるOSSを検出することができます。

2. リスクの検出

Black Duckの長い歴史の中で築かれた、最も包括的なOSS情報のデータベース「KnowledgeBase」によって、さまざまなリスクを検出することができます。あらゆるOSSの脆弱性やライセンスに関する情報に加え、コミュニティの状況や暗号に関する情報まで明らかにすることができます。

ライセンス違反のリスク

KnowledgeBaseは数多くのオープンソースライセンスに関する情報を保持しており、GPL※1、LGPL※2、Apache Licenseなどの著名なライセンスだけでなく、利用数の少ないライセンスについても幅広くカバーしています。また一般的なライセンスのライセンス全文にくわえ、各ライセンスの属性や義務といった情報も網羅しているため、プロジェクトにおけるライセンス競合についても検出することが可能です。また各OSSについては宣言されたライセンスだけでなく内包するライセンス(Deep License Data)も知ることができるため、ライセンスコンプライアンス遵守に必要な情報を幅広く入手することができます。

  • ※1 GPL:GNU General Public License(GNU 一般公衆利用許諾書)
  • ※2 LGPL:GNU Lesser General Public License(GNU 劣等一般公衆利用許諾書)

セキュリティ脆弱性のリスク

CVE※1情報だけでなく、独自のデータ「Black Duck Security Advisories(BDSA)」を含む膨大な脆弱性情報を保持しており、リスクの検出に加えて具体的な対策情報の提供まで行います。シノプシスの有識者で構成されるCybersecurity Research Center(CyRC)がOSS脆弱性の監視と情報追加を行っているため、正確でタイムリーな脆弱性情報の受け取りが可能です。

  • ※1 CVE:Common Vulnerabilities and Exposures(MITRE社※2が採番を行い、NIST※3が運営するNVD※4によって提供されている共通脆弱性識別子)
  • ※2 MITRE社:米国政府の支援を受けた非営利の研究団体の名称
  • ※3 NIST:National Institute of Standards and Technology(アメリカ国立標準技術研究所)
  • ※4 NVD:National Vulnerability Database(NISTが運営する脆弱性情報データベース)

運用上のリスク

Black Duckは各OSSプロジェクトのコミュニティ活性度に関する情報を保持・追跡しています。アップデート状況、コミット アクティビティ、コントリビュータ数などの情報に基づいて、古くなった・活動的でなくなったOSSとそのバージョンを独自の指標で評価します。運用上のリスクとして得られるこの情報をもとにOSSの採用や移行の判断を行うことができます。

暗号に関するリスク

暗号化機能を持つOSSを含む製品・サービスを海外へ輸出する場合には、法令への対応が必要になる場合があります。Black Duckでは各OSSで使用されている暗号技術の情報を参照できるため、これらの輸出関連業務におけるコンプライアンス遵守の負荷を軽減することができます。

3. 継続的な管理

製品・サービス開発におけるOSS管理は、リリースした後も脆弱性監視・バージョンアップ対応などで継続的に対応が必要になります。Black DuckはSDLC(ソフトウェア開発ライフサイクル)全体において、OSS管理をサポートする機能を提供しています。

※1 SBOM:Software Bill of Materials(ソフトウェア構成表)

Black Duckの使い方(ユースケース)

Black DuckはSDLC(ソフトウェア開発ライフサイクル)におけるあらゆる場面でOSSのリスク管理をサポートします。

検索

計画 開発

OSS情報データベースを検索して、利用予定のOSSに脆弱性のリスクがないか、ライセンス上の課題がないか、などを調べることができます。

スキャン(IDE連携)

開発

シノプシスのプラグイン「Code Sight」を利用して、統合開発環境(IDE)上でBlack DuckによるOSSの脆弱性やライセンスのチェックを行うことができます。

スキャン(クライアントツール)

開発 テスト

Black Duckのクライアントツール(Synopsys Detect)を用いてクライアント環境でスキャンを実行することができます。デスクトップアプリケーションはWindows、Mac、Linuxに対応しています。

スキャン(ファイルアップロード)

開発 テスト

ブラウザーでBlack Duckサーバーにアクセス後、クライアントツールで解析した結果ファイルをドラッグ&ドロップでアップロードすることで、OSSの検出およびリスクの確認を行うことができます。

スキャン(CI/CD連携)

開発 テスト

クライアントツール(Synopsys Detect)のコマンドライン(CLI)をビルドジョブと統合してCI/CD連携でスキャンを行い、継続的なリスク管理を行うことができます。Black Duckの外部ツール統合については「よくあるご質問」をご覧ください。

監視

運用

スキャンや手動登録によってBlack Duckに登録されたOSSについては、リスクが継続的に監視され、問題があればアラートで通知されます。

Black Duck の仕組み

Black Duckの構成について説明します。

  • 全般

    Black Duckはサーバー・クライアント型のWEBアプリケーションです。オンプレミス環境のマシン、あるいはクラウド環境(AWSやAzureなど)のどちらでも利用することができます。 クライアントアプリケーションにて抽出されたファイル情報を元に、Black Duckデータセンター内のOSS情報データベース「KnowledgeBase」と連携して解析およびリスク検出を行います。

  • Black Duckサーバー

    Docker/Kubernetes/OpenShiftの環境で稼働するコンテナベースのサーバーです。比較的容易に環境を構築することができます。サーバーは概ね2か月ごとにアップデートされ、機能拡充が行われています。

  • OSS情報データベース KnowledgeBase

    Black DuckのOSS情報データベース「KnowledgeBase」は、シノプシスのCybersecurity Research Center(CyRC)がフォージやリポジトリから膨大なデータを収集している包括的なデータベースで、OSSのプロジェクト、ライセンス、セキュリティ脆弱性に関するさまざまな情報を網羅しています。

Black Duckのことなら日立ソリューションズ

選ばれる理由

日立ソリューションズは多数の実績をもつBlack Duckの国内販売代理店です。

reason 01

Black Duckパートナー
としての長い歴史

10年以上パートナーを務めている企業であり、長年の経験に裏付けられた豊富なノウハウがあります。

reason 02

多くの支援実績

日立グループでの大規模な活用支援をはじめ、さまざまな業界・業種のお客様に対して多くの導入支援、運用サポート、解析支援の実績があります。

reason 03

自社での経験に基づく
ユーザー目線のサポート

自社でも実際にBlack Duckを本番利用しており、さまざまな使い方を把握しています。ユーザー目線での活用アドバイスができる数少ない企業です。

reason 04

OSS管理に関する
トータルサポート

国内企業として初のOpenChain(*)公式パートナーで、国際標準に準拠したコンサルティングを提供できます。お客様の課題解決をツール・プロセスの両面からトータルでサポートすることが可能です。

*OpenChainはOSS管理の国際標準であるOpenChain仕様を定めるThe Linux Foundation傘下のプロジェクトです。

事例

日立ソリューションズではこれまで、製造業、IT系、ゲームメーカーなど、業界・業種を問わずさまざまなお客様にBlack Duckを提供してきました。

関連サービス

Black Duck導入に関連して、以下のようなサービスも提供しております。お客様のご要望に合わせて対応致しますので、ご希望があればご相談ください。※いずれも個別見積となります。

特典

購入特典

教育・よろず相談の詳細は「オープンソース管理ソリューション」を参照

よくあるご質問

全般的なご質問

はい、日本語に対応しています。ブラウザーの言語設定に合わせてGUIの表示が変わる仕様になっています。

申し訳ありませんが提供されていません。

スキャンに関するご質問

Black Duck独自のシグネチャスキャンのアプローチはプログラミング言語に依存しません。ファイル情報やディレクトリのレイアウトに基づいてOSSを検出します。
パッケージマネージャー、独自バイナリのスキャンなどの詳細はお問い合わせください。

ソースコードから生成したハッシュ値などのデータが暗号化されて送信されます。元のソースコードに戻すことができない状態で送信されますので、ソースファイルの中身が外部に公開されることはありません。

システム面に関するご質問

以下に示します。

サーバー 要件は随時更新されています。最新情報はこちらを参照ください。
https://github.com/blackducksoftware/hub#requirements
クライアントツール(Synopsys Detect) 要件は随時更新されています。最新情報はこちらを参照ください。
https://synopsys.atlassian.net/wiki/spaces/INTDOCS/pages/631275521/Requirements

以下に示します。

統合開発環境(IDE) Eclipse、Visual Studio IDE、IntelliJ IDEA、WebStorm、PyCharm、RubyMine、PhpStorm、VS Code、Android Studio
CIツール Jenkins、TeamCity、Bamboo、Team Foundation Server、Travis CI、CircleCI、GitLab CI、Visual Studio Team Services、Concourse CI、AWS CodeBuild、Codeship、Azure DevOps、GitHub Actions、OpenShift
ワークフローと通知 Jira、Slack、Email、SPDX
バイナリおよびソース・リポジトリ Artifactory、Nexus
アプリケーション・セキュリティ・スイート IBM AppScan、Micro Focus Fortify、SonarQube、ThreadFix、Cybric、Code Dx

ライセンス形態と価格

機能モジュール

Black Duckは必須モジュールと、5つのオプションモジュールで構成されています。必要な機能モジュールを選択してご購入いただけます。

容量

Black Duckは管理対象のプログラムの容量に応じて価格が変動します。

価格

  • ライセンスは上記の「機能モジュール」および「容量」に応じた年間サブスクリプション価格となります。
  • 価格は個別見積りとなります。詳細な見積りをご希望のお客様は、お問い合わせボタンよりご連絡ください。
  • ライセンス形態に関するご質問がある場合は、お問い合わせボタンよりご連絡ください。

※Black Duckは、Synopsys, Inc.の米国およびその他の国における商標または登録商標です。

目的別オススメ商品

最終更新日:2021年10月15日