オープンソースセキュリティ監査

コードベースに存在するセキュリティ、法律、および運用上のリスクに対して実行可能なビューを取得

企業がライセンスコンプライアンスを懸念するのと同様に、オープンソースセキュリティとサードパーティの脆弱性及び運用リスクについて懸念していますか。潜在的なライセンス問題を特定することに加えて、Black Duck のオープンソースセキュリティ監査は、企業のコードベースに存在するその他のリスクの詳細を提供し、高水準のアクションプランを提供して様々なカテゴリのリスクに対する調査と可能な修復措置の優先度を指定します。

最近、オープンウェブアプリケーションセキュリティプロジェクト (OWASP) は、「既知の脆弱性を伴うコンポーネントの使用」を 10 大リスクの中に加えています。OSRA はコンポーネントおよび脆弱性に対する可視性を提供します。

Black Duck の On-Demand オープンソース監査 部品表から構築された OSRA レポートには、コードベース内で現在使用されているコンポーネントについて報告されている、米国標準技術局 (NIST) National Vulnerability Database (NVD) やその他のソースから得られたセキュリティ脆弱性に関する包括的なリストが含まれています。

また、レポートでは、極端に古いバージョンに加えて既に使用されていないものや非常に遅い動作の原因となっているものがハイライトされ、運用リスクを伴うコンポーネントに関する詳細も含まれています。バージョン拡散に対する詳細も含まれ、同じコンポーネントで複数のバージョンを使用している場合はチームに警告します。

多くのコードベースの中に、様々なカテゴリや重大度のリスクが数多く存在します。特に処理が活発になっている場合は、どこに焦点を当てるべきか把握することが困難です。オープンソースリスク評価のアクションプランは、リスクと重大度のタイプを考慮して優先項目を推奨し、お客様の取り組みを支援いたします。

日本ではBlack Duck On-Demand オープンソースセキュリティ監査の一環としてオープンソースリスクアセスメントのサービス提供は行っておりませんので、ご了承下さい。