メインコンテンツに移動

Enhanced Vulnerability
Reporting & Monitoring

今日、開発しているアプリケーションにオープンソース脆弱性はありませんか? 昨日出荷したアプリケーションはどうですか?

毎年、何千もの新たなオープンソース脆弱性が報告されています。市販のソフトウェアとは違って、オープンソースでは、企業・組織に次々に情報を届けてくれたり、最新のセキュリティアップデートを完了しているか確認してくれたりするベンダーはひとつもありません。そういうことは自分でやらなければならないのです。

Black Duckの脆弱性報告&監視は、お使いのオープンソースに含まれている既知の脆弱性に包括的なビューを提供しています。そして新たな脆弱性が報告されれば、リアルタイムで警告を通知し、アプリケーションの出荷前でも後でも、ずっと保護しつづけます。


拡充された脆弱性データ:NVDを越えて

他のソリューションは、米国政府による標準ベースの脆弱性データの蓄積である「脆弱性情報データベース(NVD)」のデータに依存しています。しかし、NVDに記録されることのない脆弱性や影響を受けたオープンソースプロジェクトは数多く存在しています。また、NVDに加えられた脆弱性も、パブリックになるまでに数週間を要することも珍しくありません。そのリスクを考えれば、のんびり待ち構えてはいられません。

NVDを凌駕するBlack Duckの「Enhanced Vulnerability Data(EVD)」は、Black Duckのセキュリティリサーチ専任チームが複数のソースを研究・分析して得られたデータを活用することで、完璧かつ正確な情報収集を実現し、早期の警告と完全なインテリジェンスをお届けします。

  • NVDよりも30%多い脆弱性情報
  • NVDよりも(平均)3週間早い通知
  • NVDでは見つからない改善ガイダンス
  • パッチと関連コンポーネント情報で正確さが向上

 

オープンソース脆弱性ハッカーとの戦い

オープンソースは広く使われており、オープンソース脆弱性やエクスプロイトもまた広く報告されています。それも多くは同日中に。それはつまり、数千ものアプリケーションやWebsiteに侵入するためのツールや優先権を、ハッカーたちに与えることになってしまうのです。

脆弱性がパブリックになると同時に戦いが始まります。侵入を許してしまう前に、アプリケーションのオープンソースに含まれる脆弱性を見つけ、修復しなくてはなりません。Black Duckはこの戦いに勝つための支援策として、お使いのオープンソースの包括的なビューを提供し、新しい脆弱性が報告されればどこよりも早く通知して、すぐに脆弱性を検知・修復できるようにします。

Black Duckは、デプロイメント前からその後までも保護します

新しいオープンソース脆弱性が見つかるのは、オープンソースの発表から数年後、ということも珍しくありません。安全を担保・維持するためには、企業・組織は、アプリがデプロイされたずっと後まで、アプリに影響をおよぼす脆弱性を掌握している必要があります。Black Duckは、監視を継続し、新たな脆弱性が――開発中でも本番環境に展開されても――アプリケーションに影響する場合には、自動的に、継続的に、再スキャンすることなく、すぐに警告します。Black Duckは、アプリケーションのライフサイクル全体をカバーしています。