メインコンテンツに移動

オープンソーススキャニング&ディスカバリーへのBlack Duckのアプローチ

Black Duckのマルチファクターオープンソーススキャニング技術は、アプリケーションやコンテナに含まれているオープンソースのもっとも包括的かつ正確なビューを提供します。この技術は、構築プロセスの監視とファイルシステムスキャニングを組み合わせることで、多くのソリューションが見逃してしまうコンポーネントを含む使用中のすべてのオープンソースのトラッキングが可能です。

そのしくみとは

 

なぜパッケージの申告だけでは不十分なのか

他のソリューションのほとんどは、パッケージマネージャーの申告のみを頼りにオープンソースコンポーネントを識別しています。しかしこれらのソリューションは、コードにまぎれこんでいるかもしれない次のような場合における多数のオープンソースを見逃してしまっています。

  • オープンソースの開発者がコードを追加してもパッケージマニフェストでは申告していない
  • CやC++などの言語で書かれたオープンソースでパッケージマネージャーを使用していない
  • コンテナ内部に構築されたオープンソースでパッケージマネージャーを使用していない

さらにこれらのソリューションは、パッケージ申告で構築物に含まれる単一のバージョンを明記していない場合に、推移従属関係およびコンポーネントについて不正確な結果を出すことがあります。

Black Duckのソリューションは、ファイルシステム情報と構築プロセスの監視を組み合わせることで、パッケージマネージャーがトラッキングしていないオープンソースコンポーネントへの可視性を提供し、動的および推移従属関係についてはコンポーネントおよびバージョン情報を提供します。

CI/CD パイプラインに簡単に統合

オープンソースディスカバリークライアントであるDetectは、Black Duckソリューションの既存の開発ツールおよびプロセスへの統合を簡単にします。Detectは、使われている言語やパッケージマネージャーを自動的に識別し、ディスカバリーに適した統合を設定して、もっとも効率的にコードを分析する方法を見つけます。

Black Duckの統合についてさらに詳しく知る>