拡充された脆弱性データ
開発中のアプリケーションにオープンソースの脆弱性が潜んでいませんか? 昨日出荷したアプリケーションはどうですか?
毎年、何千もの新たなオープンソース脆弱性が報告されています。市販のソフトウェアとは違って、オープンソースでは、ベンダーによる最新情報の提供や、最新のセキュリティ・アップデート提供の保証はありません。そういうことは自分でやらなければならないのです。
Black Duckの脆弱性データベースは、お使いのオープンソースに含まれている既知の脆弱性に関する包括的なビューを提供しています。また、新たな脆弱性が報告されれば、リアルタイムで警告を通知し、アプリケーションの出荷前でも後でも、ずっと保護し続けます。
NVDを越えて
他のソリューションは、米国政府による標準ベースの脆弱性データの蓄積であるNational Vulnerability Database(NVD:脆弱性情報データベース)のデータにもっぱら依存しています。しかし、NVDに記録されることのない脆弱性や影響を受けたオープンソースプロジェクトは数多く存在しています。また、脆弱性が、公開後にNVDにリストされるまで数週間を要することも珍しくありません。そのリスクを考えれば、のんびり待ってはいられません。
NVDを凌駕するBlack Duck Security Advisories(BDSA)は、ブラック・ダックのCybersecurity Research Center(CyRC)が研究・分析して得られたデータを活用することで、完璧かつ正確な情報収集を実現し、早期の警告と詳細な洞察をお届けします。
オープンソース脆弱性ハッカーとの戦い
オープンソースは広く使われており、オープンソース脆弱性やエクスプロイトもまた広く報告されています。それも多くは同日中にです。それはつまり、数千ものアプリケーションやwebサイトに侵入するためのツールや優先権を、ハッカーたちに与えることになってしまうのです。
脆弱性が公開されると同時に戦いが始まります。侵入を許してしまう前に、アプリケーションのオープンソース に含まれる脆弱性を見つけ、修復しなくてはなりません。Black Duckはこの戦いに勝つための支援策として、お使いのオープンソースの包括的なビューを提供し、新しい脆弱性が報告されればどこよりも早く通知して、すぐに脆弱性を検知・修復できるようにします。
- 新規に報告された脆弱性の同日(NVDよりも最大3週間早い)通知
- NVDでは確認できない、数千ものBlack Duck独自の脆弱性データ
- 実用的な緩和/回避/修正ガイダンス
- 影響があるアプリケーションへの直接マッピングによるリスク・エクスポージャーの迅速な評価
- CWEおよびCVSS 2.0/3.0重大度データ
- 攻撃の証拠と危殆化情報
- 拡充されたBDSAデータに基づいて、修正のため脆弱性の自動優先順位付けを可能にするポリシー機能
Black Duckテクノロジ
ブラック・ダックは、デプロイメント前からその後までも保護します
新しいオープンソース脆弱性が見つかるのは、オープンソースの発表から数年後、ということも珍しくありません。安全を維持するためには、アプリがデプロイされたずっと後まで、アプリに影響をおよぼす脆弱性を掌握している必要があります。ブラック・ダックは、監視を継続し、新たな脆弱性が(開発中でも本番環境に展開されても)アプリケーションに影響する場合には、自動的に、継続的に、再スキャンすることなく、すぐに警告します。ブラック・ダックは、アプリケーション開発ライフサイクル全体をカバーしています。