サイト内検索
CPSセキュリティ事業メニュー
CPSセキュリティ事業
HOME
取扱メーカー
ソリューション・
サービス
コラム・
事例
資料
セミナー・
オンデマンド動画
お問い合わせ

Black Duck Software

ブラック・ダック・ソフトウェア

Black Duck - OSS・SBOM管理のためのソフトウェア・コンポジション解析(SCA)ツール

Black Duck SCA とは?

OSSの使用が急速に増加する中、ライセンス管理や脆弱性対応が企業にとって重要な課題となっています。Black Duck SCA は、アプリケーションやコンテナなどあらゆるソフトウェア成果物やライブラリ でオープンソースを使用した場合に発生するセキュリティ、ライセンス・コンプライアンス、 コード品質のリスクを管理する包括的なソリューションです。ソフトウェア・コンポジション解析(SCA)のリーダーである Black Duck は、サードパーティ依存関係の可視性を最大限に高め、ソフトウェア・サプライチェーンによってもたらされるリ スクの管理を可能にします。

機能と特徴

  • OSSの脆弱性管理
    Black Duckは、 810万件以上の独自のオープンソース・プロジェクトをカタログ化することにより、OSSの脆弱性やライセンスリスクを速やかに特定します。これにより、最新の脅威やリスクへの対応を支援します。
  • ライセンスコンプライアンスの強化
    OSSの利用に伴うライセンスリスクを正確に評価し、ライセンスコンプライアンス違反の可能性を回避します。複雑なライセンス条件にも対応し、法的リスクを最小限に抑えます。
  • SBOM(ソフトウェア部品表)の出力
    スキャンによって特定されたOSSコンポーネントの一覧を SPDX/CycloneDXなどのフォーマットで出力することができます。また、サードパーティのSBOMをして依存関係を既知のコンポーネントに自動的にマップし、カスタムまたは商用の コンポーネントの依存関係に対応する新規コンポーネントを作成できます。
  • セキュリティリスクの優先順位付け
    ライセンス・タイプ、脆弱性の重要度、オープンソース・コンポ-ネントのバージョンなどさまさざまな基準に基づいてオープンソースのセキュリ ティと使用に関する独自のポリシーを設定できます。設定したポリシーは、自動ワークフロー・トリガー、通知、Jira または Azure との双方向 の連携などの方法で適用でき、修正作業の開始と報告を迅速化できます。ポリシーを使用することで、開発チームがリスクのあるコンポーネントを使用するのを防ぐとともに、万一こうしたコンポーネントがリリース・ストリームに混入した場合でも、ビルドを停止することができます。また、特定したすべての依存関係に関連するリスクを評価し、優先順位の高いものから修正できるよう支援します。
    脆弱性の監視とアラート 新たなOSSの脆弱性が見つかった場合の通知を行います。フィルタリング機能を用いて確認したい脆弱性の閾値を設定することも可能です。
  • OSSライセンスの監視とアラート
    明示的に宣言されたライセンス、サブライセンス、および埋め込みライセンスを含め、アプリケーションの依存関係によって使 用されているライセンスを正確に特定します。そして、各ライセンスに関連する要求事項と制限事項の情報を抽出し、ライセンスの全文および著作権情報と一緒に分かりやすく表示してくれます。また、ほとんどすべてのオープンソース・ライセンスで必須とされている Notice ファイルも 自動で生成できます。

導入構成

  • Black Duck Detect (Desktop)
    Black Duck サーバーと接続し、ソースディレクトリ、バイナリや実行可能ファイル、Dockerイメージとディストリビューションなどのスキャンを実行するためのインターフェースを提供します。
  • Black Duck サーパー
    スキャンした結果特定されたコンポーネントの一覧と、各コンポーネントの脆弱性やライセンスリスクなどを、ブラウザー上に表示できます。
  • KB (ナレッジベース)
    解析を取得する為のBlack Duck Software社が管理するデータベースで、 Black Duck Software社のデータセンターにインスタンスがあります。

システム要件

OSサポート
  • Red Hat Enterprise Linuxサーパー8.9および9.x
  • Ubuntu 20.04.x
  • SUSE Linux Enterprise SeNerバージョン12.x (64ビット)
  • Oracle Enterprise Linux 7.9
データベース PostgreSQL(推奨)
ハードウェア最小要求仕様 1時間あたりののスキャン数120回のケース
ハードウェア最小要求仕様(1時間あたりののスキャン数120回の場合)
  • CPU:15 コア
  • メモリ:72GB
  • ディスク容量:最低250GBの空き容醤(スキャンデータ量に応じて増加)
ネットワーク要件
  • Black Duckサーバヘのアクセスポート
  • Port 443 : Black Duckサーパヘのアクセス(ブラウザ)
  • Port 55436 :レポート用DBのアクセスポート
  • Black Duckサーパからインターネットヘのアクセス(https)

※ただし、Black Duck SCAのバージョンや運用環境、スキャン対象などによって異なります

FAQ

Black DuckはどのようなOSSプロジェクトに対応していますか?

810万件以上の独自のオープンソース・プロジェクトをカタログ化することにより、修正されたコードやオープンソース・コードスニペットなど、ソフトウェアを構成するコンポーネントの高い一致率を実現します。

Black Duckはどのように開発プロセスに統合できますか?

Cl/CDツールやソースコード管理システム(Git、Jenkinsなど)とシームレスに統合でき、開発の各フェーズでリアルタイムにスキャンを実行します。

Black Duckのスキャン速度はどのくらいですか?

ソフトウェアの規模や複雑さに依存しますが、通常のプロジェクトでは数分から数時間程度でスキャンが完了します。また、スキャン時間を最適化するためのオプションも用意されています。

SBOMの生成はどのように行われますか?

Black DuckはSBOMレポートによってソフトウェア部品表(SBOM)を出力できます。出力の際、SPDX/CycloneDXなどのフォーマットを選択できます。