開発中のアプリケーションにオープンソースの脆弱性が潜んでいませんか? 昨日出荷したアプリケーションはどうですか?
毎年、何千もの新たなオープンソース脆弱性が報告されています。市販のソフトウェアとは違って、オープンソースでは、ベンダーによる最新情報の提供や、最新のセキュリティ・アップデート提供の保証はありません。そういうことは自分でやらなければならないのです。
Black Duckの脆弱性データベースは、お使いのオープンソースに含まれている既知の脆弱性に関する包括的なビューを提供しています。また、新たな脆弱性が報告されれば、リアルタイムで警告を通知し、アプリケーションの出荷前でも後でも、ずっと保護し続けます。
他のソリューションは、米国政府による標準ベースの脆弱性データの蓄積であるNational Vulnerability Database(NVD:脆弱性情報データベース)のデータにもっぱら依存しています。しかし、NVDに記録されることのない脆弱性や影響を受けたオープンソースプロジェクトは数多く存在しています。また、脆弱性が、公開後にNVDにリストされるまで数週間を要することも珍しくありません。そのリスクを考えれば、のんびり待ってはいられません。
NVDを凌駕するBlack Duck Security Advisories(BDSA)は、シノプシスのCybersecurity Research Center(CyRC)が研究・分析して得られたデータを活用することで、完璧かつ正確な情報収集を実現し、早期の警告と詳細な洞察をお届けします。
オープンソースは広く使われており、オープンソース脆弱性やエクスプロイトもまた広く報告されています。それも多くは同日中にです。それはつまり、数千ものアプリケーションやwebサイトに侵入するためのツールや優先権を、ハッカーたちに与えることになってしまうのです。
脆弱性が公開されると同時に戦いが始まります。侵入を許してしまう前に、アプリケーションのオープンソース に含まれる脆弱性を見つけ、修復しなくてはなりません。Black Duckはこの戦いに勝つための支援策として、お使いのオープンソースの包括的なビューを提供し、新しい脆弱性が報告されればどこよりも早く通知して、すぐに脆弱性を検知・修復できるようにします。
新しいオープンソース脆弱性が見つかるのは、オープンソースの発表から数年後、ということも珍しくありません。安全を維持するためには、アプリがデプロイされたずっと後まで、アプリに影響をおよぼす脆弱性を掌握している必要があります。Black Duckは、監視を継続し、新たな脆弱性が(開発中でも本番環境に展開されても)アプリケーションに影響する場合には、自動的に、継続的に、再スキャンすることなく、すぐに警告します。Black Duckは、アプリケーション開発ライフサイクル全体をカバーしています。