OSS管理ツール Black Duck｜株式会社日立ソリューションズ

OSS管理ツール Black Duck

シノプシス社のBlack Duckは、組織におけるOSSの活用状況を効率よく把握することでコンプライアンスリスク・セキュリティリスクを軽減し、OSSの安心・安全な活用を支援します。

このようなお悩みはありませんか？

製品・サービスなどで活用しているOSSをきちんと把握できていない。意図していないOSSが混入していないか、活用しているすべてのOSSを可視化したい。

独自のスキャン機能により、対象ソフトウェアに含まれているOSSを効率よく可視化できます。OSSのソースコードの部分的な流用も見逃しません。
OSSの活用に伴うコンプライアンスリスクについて懸念がある。OSSライセンスを理解し、遵守することができていない。

高性能なOSSデータベースを備えており、各OSSに関して、適用されるライセンスや開発コミュニティの活動状況などの豊富かつ重要な情報を参照できます。
OSS由来のセキュリティ脆弱性を利用したサイバー攻撃に対応したい。自社製品・システムのセキュリティ堅ろう性を向上させたい。

活用しているOSSに関連する脆弱性の情報をマッチングしタイムリーなセキュリティ対策を可能にするとともに、脆弱性の監視機能を備えており、活用しているOSSに新たな脆弱性が検出された場合にお知らせします。

概要

Black Duckの主な機能

OSS詳細情報の参照

業界最高レベルのOSS情報データベースを備えており、検索により各OSSの詳細情報を参照できます。
活用しているOSSの可視化

対象ソフトウェアをスキャンするだけで、活用しているOSSの一覧(SBOM)を簡単に作成できます。
ライセンス・コンプライアンス

各OSSに適用されるライセンスを自動で特定し、あらかじめ登録しておいたルールに基づき要注意ライセンスが検出された場合にアラートします。
セキュリティ

各OSSに関連する脆弱性情報をマッピングしセキュリティリスクを可視化するとともに、日々新たな脆弱性情報を収集・リスクを自動更新し、影響度合いをお知らせします。
コミュニティ活性度調査

OSS開発コミュニティの活動状況を調査・独自の指標で評価し、活性度としてお知らせします。OSSの採用判断に活用できます。
輸出管理

各OSSで使用している暗号技術の情報を参照でき、輸出関連業務の負荷を軽減します。

ページの先頭へ

特長

多角的・包括的なリスク検出

OSSの脆弱性やライセンスの情報、コミュニティの活性度などを継続的に監視しており、企業がOSSを安全に活用するために必要な情報を提供します。
バイナリ、コンテナイメージの解析のほか、コードに組み込まれているOSSの「スニペット（※）」を特定して活用されているOSSを自動で確実に可視化することができるので、自社が扱うソフトウェアのどこにOSSが含まれているのかを明らかにし、漏れのない確実な管理を可能にします。

※スニペットとは・・・OSSのプログラムの一部分を流用したもの

OSS情報データベース KnowledgeBase

Black DuckのOSS情報データベースは、シノプシスのCybersecurity Research Center（CyRC）が20,000以上のフォージやリポジトリから収集した380万件を超えるOSSコンポーネントを網羅する、OSSのプロジェクト、ライセンス、セキュリティ情報に関する包括的ななデータベースです。

脆弱性監視

Black Duckの脆弱性データベースは、お使いのOSSに影響する既知の脆弱性に関する包括的なビューを提供しています。また、新たな脆弱性が報告されれば、リアルタイムで警告を通知し、アプリケーションの出荷前でも後でも、ずっと保護し続けます。
米国政府による標準ベースの脆弱性データの蓄積であるNational Vulnerability Database（NVD）のデータに加え、Black Duck Security Advisories（BDSA）は、シノプシスが研究・分析して得られたデータを活用することで、網羅的な情報収集を実現し、早期の警告と詳細な洞察をお届けします。