Mend社のソフトウェアコンポジション解析ツール
OSS管理&SBOM管理ツール(旧名称:WhiteSource)
- ※OSS:Open Source Software(オープンソースソフトウェア)
- ※SCA:Software Composition Analysis(ソフトウェア構成分析)
- ※SBOM:Software Bill of Materials(ソフトウェア部品表)
Mend社のソフトウェアコンポジション解析ツールは、組織におけるOSSの活用状況とリスクのマネジメントを効率化してDevSecOpsを支援するOSS管理&SBOM管理ツールです。クラウドサービスとして提供されるため導入が容易で、包括的なコンポジション解析(SCA)機能でセキュリティ脆弱性やライセンスコンプライアンス違反に関するリスクを洗い出し、OSSの安心・安全な活用を支援します。
日立ソリューションズは「Mend社のソフトウェアコンポジション解析ツール」の国内販売代理店です。
このようなお悩みはありませんか?
- 課題
- 解決
-
課題
- 自社の製品・サービスにOSSを利用しているが、セキュリティ脆弱性やライセンスコンプライアンス違反のリスク管理が必要と感じている。
-
解決
「Mend社のソフトウェアコンポジション解析ツール」を使えば、利用しているOSSの脆弱性リスクの可視化とライセンスチェックを簡単に行うことができます。
-
課題
- ツール導入などの手間をかけずにすぐにOSSチェックやSBOM作成のための解析をおこないたい。解析ツールの運用コストも抑えたい。
-
解決
「Mend社のソフトウェアコンポジション解析ツール」はクラウドサービスのため、お申し込みいただいてすぐお使いいただくことができ、サーバーの運用コストもかかりません。
-
課題
- 取引先に自社製品のOSSチェックの結果(SBOMなど)を報告しなければならない。
-
解決
「Mend社のソフトウェアコンポジション解析ツール」のチェック結果から、グラフィカルな詳細レポートを作成できます。
商品概要
「Mend社のソフトウェアコンポジション解析ツール」とは
Mend(読み方:メンド)社のソフトウェアコンポジション解析ツールは、グローバルに高い評価を得ているOSS管理&SBOM管理ツールです。
導入が容易なクラウドサービスで、SBOM生成の自動化にくわえ、OSSに関するセキュリティ脆弱性、ライセンス、品質(バグ・アップデートなど)の情報を管理することができ、開発組織のDevSecOpsを実現します。
市場からの高い評価
「Mend社のソフトウェアコンポジション解析ツール」は、OSS脆弱性マネジメントのための先進ツールです。製造、金融、サービス、ゲーム、組み込み機器、その他数多くの業界・業種で利用されており、業界リーダーとして市場から高い評価を獲得しています。
米国IT大手など全世界で多数の利用実績
MicrosoftやIBMなどの業界リーダーや、Fortune 100企業の23%を含む、全世界800以上のユーザーがMend社のソフトウェアコンポジション解析ツールを利用しています。
市場調査企業がリーダーとして評価
市場調査企業であるForrester Research社が発行するレポート*では、ソフトウェア構成分析市場におけるリーダーとして評価されています。
- *The Forrester Wave: Software Composition Analysis, Q3 2021
「Mend社のソフトウェアコンポジション解析ツール」の特長
「Mend社のソフトウェアコンポジション解析ツール」にできることや、製品としての強み、導入のメリットについて説明します。
OSSとリスクの可視化
クラウドサービス・デスクトップアプリ・組込ソフトウェアなどで利用されているOSSのライブラリ・フレームワークなどを漏れなく検出します。OSS由来のセキュリティ脆弱性などを可視化することで、OSS利用におけるリスクを可視化することができます。
-
セキュリティ脆弱性
Mend社のソフトウェアコンポジション解析ツールは独自のDBである「Mend Vulnerability Database」によって、さまざまなOSSの脆弱性情報を蓄積・管理しています。CVE*1として採番されていない脆弱性情報も含め膨大な情報を扱っており、本データに基づいてリスクの把握と対策が可能です。正確でタイムリーな脆弱性情報の受け取りも可能で、いつ公開されるか分からない突発的な脆弱性にも即座に対応することができます。
- *1 CVE:Common Vulnerabilities and Exposures(MITRE社*2が採番を行い、NIST*3が運営するNVD*4によって提供されている共通脆弱性識別子)
- *2 MITRE社:米国政府の支援を受けた非営利の研究団体の名称
- *3 NIST:National Institute of Standards and Technology(アメリカ国立標準技術研究所)
- *4 NVD:National Vulnerability Database(NISTが運営する脆弱性情報データベース)
-
ライセンスコンプライアンス
OSSとそのライセンス情報、著作権情報などを把握できます。GPL*1、LGPL*2、Apache Licenseなどの著名なライセンスから利用数の少ないライセンスまで、幅広くカバーしています。M&AやIPOの際に行われるデューデリジェンス(企業価値評価)での資産調査に活用することができ、製品・サービス開発におけるコンプライアンス遵守を効率化することができます。
- *1 GPL:GNU General Public License(GNU 一般公衆利用許諾書)
- *2 LGPL:GNU Lesser General Public License(GNU 劣等一般公衆利用許諾書)
-
インベントリー(SBOM:ソフトウェア部品表)
製品やサービスで利用されているOSSのリスト(インベントリ―)を作成することができます。SBOM*1(ソフトウェア部品表)を参照することで、各OSSコンポーネントのURLなど詳細情報も確認できます。OSSに依存関係がある場合には階層構造でリストを閲覧することもできます。
- *1 SBOM:Software Bill of Materials(ソフトウェア部品表・構成表)
-
各種アラート
深刻なバグに関する通知やバージョンに関する通知など、さまざまなアラートを受け取ることができます。これらの警告によって品質面におけるOSSの利用リスクを管理できるため、早期の問題把握によって手戻りを予防し、ソフトウェア開発の工数削減を図ることができます。
ポリシーの管理
各種アラートはポリシー機能によってカスタマイズすることができます。どのような脆弱性・ライセンスが検出されたらアラートをあげるか、といったルールを組織で設定することにより、OSSとSBOMの管理レベルをチーム内で統一することができます。
修正方法の提供
「Mend社のソフトウェアコンポジション解析ツール」は脆弱性情報だけでなく、どのようにその脆弱性に対応すればよいか検討するための情報もあわせて提供します。
バージョンアップやパッチに関する情報などを参照することができるため、エンジニアは迅速に脆弱性を理解して修正方法を検討することができます。
充実したレポート
「Mend社のソフトウェアコンポジション解析ツール」のレポート機能は大変充実しており、グラフィカルかつリッチなレポートとしてさまざまな情報を出力することができます。
レポート・ダッシュボードの例
Inventory / Source File Inventory / Due Diligence / Attribution / Compare Products / Compare Projects / Custom Attributes / Library Location / License Compatibility / Effective Licenses / In-House / Risk / Multiple Library Versions (Beta) / Vulnerabilities / Early Warnings / Container Vulnerabilities / Effective Usage Analysis Detailed Results / Alerts / Ignored Alerts / Alert Resolution Duration / Change Log History / Request History / Resolution Requests Status / Plugin Request History / Plugin Policy Violation History / GitHub Scan History / Members
さまざまな開発ツールと統合
DevOps基盤やCI/CDツールなど、さまざまなソフトウェア開発製品と統合することが可能です。
SDLC(システム開発ライフサイクル)のすべての段階において安全なOSS管理/SBOM管理を実現することができ、アプリケーション開発におけるDevSecOpsを促進することができます。
さまざまな言語・プラットフォームの解析に対応
「Mend社のソフトウェアコンポジション解析ツール」の解析は200以上のプログラミング言語に対応しています。多種多様な製品・サービスを展開している組織においても、本ツールを導入するだけで各プロジェクトのOSS管理を一元的に行うことができます。
またパッケージマネージャ、Linuxディストリビューション、コンテナなどに最適化されたOSSスキャンを行うことにより、自社で開発するさまざまなアプリケーションのOSS利用とそのリスクについて、より正確に、より効率的に把握することが可能になります。
「Mend社のソフトウェアコンポジション解析ツール」の仕組み
本製品はサーバー・クライアント型のWEBアプリケーションです。スキャンを実行する開発環境のローカルエージェントと、クラウド上にあるMend社のサーバーおよびデータベースで構成されます。スキャンにおいては誤検知を回避する仕組みが用いられ、正確なデータベースとのマッチングによりOSS利用の実態を効果的に把握することが可能となっています。
-
UIDの計算
開発環境に置かれたエージェントがそれぞれのファイルに対する独自の識別子(UID)を計算。
すべてのUIDがサーバーへと送付されます。 -
データのマッチング
UIDはマスターデータベースとマッチングされます。OSSと認識されたものに対して、セキュリティ、ライセンス、品質といったデータが、ユーザー特定のOSSインベントリーに蓄積されます。
-
結果の表示
ユーザー用データベースの情報がアップデートされます。すべての解析データがオンラインで利用可能となり、ブラウザーなどでアクセスして確認できるようになります。
-
エージェント(Unified Agent)
「Unified Agent」と呼ばれるJavaのクライアントアプリケーションが解析対象となるソースなどからデータ抽出を行います。開発マシンやビルド環境(JenkinsなどのCIツール環境)などで本アプリケーションを動かし、ファイルやビルド情報などから必要なデータを取得します。ソースファイルに関する情報はUIDなどに加工されてクラウドに送信されるため、機密情報であるソースファイルの中身などが公開される心配はありません。
-
サーバーおよびデータベース
クラウド上にあるMend社のサーバーは、エージェントから送信されたデータをもとにして解析結果を作成する役割を担います。マスターデータベースには最大4,500万件を超えるOSSプロジェクト(ソースライブラリ)の情報が存在し、OSSコンポ―ネントとそのライセンスなどに関する膨大な情報が蓄積されています。Mend社の研究チームがメンテナンスする脆弱性情報もデータベース化されており、CVE情報とMend社独自の情報が蓄積されています。
「Mend社のソフトウェアコンポジション解析ツール」の使い方
具体的な使い方については以下の記事を参照ください。
「Mend社のソフトウェアコンポジション解析ツール」の価格(Pricing)
開発者数に応じた年間サブスクリプションライセンスです。
費用やライセンス形態についてはこちらを参照ください。
無償トライアルについて
トライアル用のライセンスを用いてMend社のソフトウェアコンポジション解析ツールの評価を行うことができます(期間は最大14日間です)。ご希望のお客さまはお問い合わせからトライアル希望をお伝えください。
「Mend社のソフトウェアコンポジション解析ツール」のことなら日立ソリューションズ
日立ソリュ―ションズは豊富な導入実績をもつ「Mend社のソフトウェアコンポジション解析ツール」の国内販売代理店です。当社の特色について説明します。
選ばれる理由
-
reason 01
ツールを熟知したエンジニア集団
OSS管理ツール/SBOM管理ツールの販売と導入支援に関して10年以上の経験があります。Mend社のソフトウェアコンポジション解析ツールについても日本市場に参入後まもなく代理店として活動しており、多くのお客さまに導入実績がございます。
-
reason 02
OSSのマネジメントに関するノウハウ
OSS管理ツール/SBOM管理ツールの販売と導入支援に関して10年以上の経験があります。Mend社のソフトウェアコンポジション解析ツールについても日本市場に参入後まもなく代理店として活動しており、多くのお客さまに導入実績がございます。
-
reason 03
SBOMに関するコンサルティング
当社ではSBOMに関するコンサルティングを幅広く提供しています。大手企業、公的機関のお客さまに対する支援実績もあり、お悩みに応じたサポートを提供可能です。
-
reason 04
日本企業として唯一の
OpenChain公式パートナー日本企業として初のOpenChain*公式パートナーであり、お客さまの課題解決をツール・プロセスの両面からトータルでサポートすることが可能です。
- *OpenChainはOSS管理の国際標準であるOpenChain仕様を定めるThe Linux Foundation傘下のプロジェクトです。
支援メニュー
導入に関連して、以下のようなサービスも提供しております。お客さまのご要望に合わせて対応しますので、ご希望があればご相談ください。※いずれも個別見積もりとなります。
-
PoC支援
導入検討時における製品評価作業の支援が可能です。
-
環境構築支援
各種インテグレーションの作業支援が可能です。
-
解析支援
チェック作業の代行が可能です。
-
その他
利用方法に関するアドバイスなどが可能です。
特典
関連商品との組み合わせで活用法はさらに広がる
関連商品
関連商品
関連商品
関連商品
FAQ(よくある質問)
-
値段やライセンス形態を教えてください。
年間サブスクリプションライセンスで提供されます。詳細は以下を参照ください。
-
評価版や体験版のライセンスを提供していますか?
提供しています。
詳細は「無償トライアルについて」を参照ください。 -
スキャンする際にソースコードはMend社のデータセンターに送信されるのでしょうか?どういった情報が送信されますか?
ソースコードから生成したハッシュ値などのデータが暗号化されて送信されます。元のソースファイルに戻すことができない状態で送信されますので、ソースファイルの中身が外部に公開されることはありません。
-
APIは使えますか?
REST APIを利用することができます。
-
スニペットの検出に対応していますか?
対応していません。
スニペットの検査は誤検知を大量に含むため、人間による膨大な確認作業が必要になります。プロセスの自動化を阻害することから、「Mend社のソフトウェアコンポジション解析ツール」ではこの類のスキャンに対応していません。 -
外部ツールとの統合は何をサポートしていますか?
以下のとおりです。
Repositories Bitbucket Data Center / Bitbucket Server / GitHub / GitHub Enterprise / GitLab / Azure DevOps (Beta) Image Registries Amazon Elastic Container Registry / Azure Container Registry / Docker Hub / Google Container Registry / JFrog Artifactory Docker Registry / GitHub Packages Package Managers Apache Maven / Gradle / Apache Ant / Opam / npm / yarn / Nuget / Paket / Cabal / Cocoapods / Go dep / Go Module / Go Vndr / Hex / pip / Pipenv / Poetry / Packrat / Bundler / sbt / composer / Go Gradle / Bazel CI/CD Tools Jenkins / Team City / Bamboo / Azure DevOps / CircleCI / AWS CodeBuild / Travis CI / Google Cloud Build Issue Tracking Jira IDE Visual Studio / Visual Studio Code / Eclipse / GitHub Codespaces / IntelliJ Browser Google Chrome / Microsoft Edge Serverless AWS Lambda 正確な最新情報については別途お問い合わせください。
-
ソースファイルマッチングで解析可能なプログラミング言語・バイナリフォーマット・パッケージマネージャーなどを教えてください。
C言語、C++、Java、C#、JavaScript、TypeScript、PHP、Python、Ruby、Go、Objective-C、Swift、Kotlin、Rust、Scalaなどの著名な言語はもちろん、200以上の言語をサポートしています。
C# NuGet + .Net / Paket Elixir, Erlang MIX Go Dep / Godep / Vndr / Gogradle / Govendor / Gopm / Glide / Vgo / Modules Haskell Cabal Java Maven / Gradle / Ant JavaScript yarn / npm / bower Objective-C, Swift CocoaPods OCaml Opam PHP Composer Python pip / Poetry / Pipenv / Conda R Packrat Ruby Bundler Rust Cargo Scala SBT 正確な最新情報を含め、サポート内容の詳細を知りたい場合は別途お問い合わせください。
最終更新日:2023年9月25日