日立ソリューションズ『OSS管理ツール Black Duck』のシステム、サービス概要・価格や、解決できる課題についてご紹介します。

• OSS詳細情報の参照

  業界最高レベルのOSS情報データベースを備えており、検索により各OSSの詳細情報を参照できます。

• 活用しているOSSの可視化

  対象ソフトウェアをスキャンするだけで、活用しているOSSの一覧(SBOM)を簡単に作成できます。

• ライセンス・コンプライアンス

  各OSSに適用されるライセンスを自動で特定し、あらかじめ登録しておいたルールに基づき要注意ライセンスが検出された場合にアラートします。

• セキュリティ

  各OSSに関連する脆弱性情報をマッピングしセキュリティリスクを可視化するとともに、日々新たな脆弱性情報を収集・リスクを自動更新し、影響度合いをお知らせします。

• コミュニティ活性度調査

  OSS開発コミュニティの活動状況を調査・独自の指標で評価し、活性度としてお知らせします。OSSの採用判断に活用できます。

• 輸出管理

  各OSSで使用している暗号技術の情報を参照でき、輸出関連業務の負荷を軽減します。

OSSの脆弱性やライセンスの情報、コミュニティの活性度などを継続的に監視しており、企業がOSSを安全に活用するために必要な情報を提供します。
バイナリ、コンテナイメージの解析のほか、コードに組み込まれているOSSの「スニペット（※）」を特定して活用されているOSSを自動で確実に可視化することができるので、自社が扱うソフトウェアのどこにOSSが含まれているのかを明らかにし、漏れのない確実な管理を可能にします。

※スニペットとは・・・OSSのプログラムの一部分を流用したもの

Black DuckのOSS情報データベースは、シノプシスのCybersecurity Research Center（CyRC）が20,000以上のフォージやリポジトリから収集した380万件を超えるOSSコンポーネントを網羅する、OSSのプロジェクト、ライセンス、セキュリティ情報に関する包括的ななデータベースです。

Black Duckの脆弱性データベースは、お使いのOSSに影響する既知の脆弱性に関する包括的なビューを提供しています。また、新たな脆弱性が報告されれば、リアルタイムで警告を通知し、アプリケーションの出荷前でも後でも、ずっと保護し続けます。
米国政府による標準ベースの脆弱性データの蓄積であるNational Vulnerability Database（NVD）のデータに加え、Black Duck Security Advisories（BDSA）は、シノプシスが研究・分析して得られたデータを活用することで、網羅的な情報収集を実現し、早期の警告と詳細な洞察をお届けします。

OSSライセンスの解釈を支援するためのツールです。Black Duckと一緒にお使いいただくことで、OSS管理を効率化し、ライセンス・コンプライアンスリスクの低減に効果を発揮します。

• ライセンスの論理分解情報※を持っており、ライセンス条文の内容理解を効率化
• ライセンスごとの責務実施状況のステータスを管理

※ライセンスで許容される使用方法と、使用方法に対応するライセンス責務の情報