按蝓オ`プンソ`ス?セキュリティΕ螢好蛍裂┛審СЦ藉。レポ`ト は、オ`プンソ`ス ソフトウェア (OSS) がF旗のアプリケ`ション_kにおいて嶷勣な叨護を惚たしており、ソフトウェア?サプライチェ`ンの児Pであるという並gを{してきました。また、斌喘アプリケ`ション坪で OSS が噸式していることで、OSSの弖Eの是yさが紗しており、吭蹐擦秘される辛嬬來のあるリスクの砿尖が是yになっています。 OSS はそれを聞喘するMの砿尖や辛來の翌で_kされるため、OSS のスクリ`ニングと砲魯愁侫肇ΕД?サプライチェ`ンのセキュリティプログラムの嶷勣な勣殆となっています。
ソフトウェア?サプライチェ`ンをセキュアにするための仁籾
好蔦澆蓮⊇Mが OSS を弖Eして旋喘することに逗困靴討い襪海箸鰌JRしています。ソフトウェアの戻工宀だけでなく、ソフトウェアの旋喘宀にも唹を嚥える、僅A議なサプライチェ`ン好弔られます。このような好弔蓮▲`プンソ`スの巌樋來を喘するか、吭のあるパッケ`ジやマルウェアを僕りzむかにかかわらず、ソフトウェアの旋喘宀のC畜秤鵑盃墾され、ソフトウェアの戻工宀とソフトウェアの旋喘宀のgのビジネス貧のvSがpなわれるY惚になります。 OSSRA レポ`ト は、これらの好弔贋壓しAける尖喇を幣しています。2024 定井では、スキャンされたコ`ドベ`スの 84% にオ`プンソ`スの巌樋來が根まれ、54% に互リスクの巌樋來があることが登苧しました。 この OSS の巌樋來の茸决による}にして、Mがm俳にIしていない、あるいはまったくIしていないことは苧らかです。
狛肇方定寂にわたり、Log4J、Curl、Apache Struts、OpenSSL などの廣朕を鹿めた巌樋來が_Jされてきました。 侑いなことに、これらは寄トな好弔籌議bのp払には崛りませんでしたが、ソフトウェア?サプライチェ`ン坪のたったひとつの巌樋來によって、Mがいかに裡にさらされるかを幣しています。F壓では、さらに}jなソフトウェア?サプライチェ`ン好弔k伏しており、好蔦澆マルウェアや吭のあるパッケ`ジをソフトウェア蝕kライフサイクル┳Ф抒遺に僕りzみ、そのリスクをエンドユ`ザ`に嚥えることに撹孔しています。このような嶽窃の好弔撹孔するのは、ソフトウェアを蝕kする縞、サ`ドパ`ティ?ソフトウェアを措く別屬垢襪海箸覆佚mしているか、リスクの別屬魴兎しているためです。
書晩の怏岶は、ソフトウェア?サプライチェ`ンのセキュリティにIすることが採を吭龍するかについて、篇勸をレげる駅勣があり、アプリケ`ション坪のすべての卆贋vSを頼畠に辛篇晒する駅勣があります。そして、巌樋來を階えたオ`プンソ`スのリスクを蒙協する嬬薦を寄する駅勣があります。
Black Duck Supply Chain エディション
Black Duck? Supply Chain エディションを旋伏することで、ソフトウェアのサプライチェ`ンにおける辛來やセキュリティ砿尖が晒され、屡贋のサプライチェ`ンにおけるセキュリティ試咾悗が辛嬬となります。
麼な字嬬は和芝の宥り。
淫凄議なオ`プンソ`ス奮
ソフトウェア?サプライチェ`ンの謹くはオ`プンソ`スで更撹されており、ソフトウェア?サプライチェ`ンを癖俳に或皆皆を弖E、砿尖できなければ、リスク砿尖の藺圓肪らかな諒籾が伏じることになります。そのため、駅勣とされるソフトウェア何瞳燕 (SBOM) では、すべての或皆皆の卆贋vSをリストすることが駅勣です。
Black Duckを旋喘することで、冱Zやパッケ`ジ?マネ`ジャ`のNをわず、卆贋vS、CodePrint?、スニペット、バイナリ、およびコンテナ`盾裂をMみ栽わせ、オ`プンソ`ス?コンポ`ネントを堀やかに蒙協し、卆贋vSを苧らかにすることで、OSSの淫凄議なビュ`が誼られます。
サ`ドパ`ティ皆京或珂のインポ`トと蛍裂
ほとんどの斌喘およびエンタ`プライズ?ソフトウェアの蝕kでは、翌何ベンダ`の戻工するサ`ドパ`ティ?コ`ドを聞喘しています。また、セキュリティ?チ`ムはこれらのサ`ドパ`ティによる蝕k撹惚麗を蛍裂できますが、ソフトウェア?ベンダ`が皆京或珂を戻工してくれることで、蛍裂恬匍が掲械にSになります。
Black Duckを旋喘することで、セキュリティチ`ムは、翌何ベンダ`の戻工するSBOMをインポ`トし、その嶄に根まれるオ`プンソ`ス、斌喘、カスタム?コンポ`ネントを徭啜弔某敏晒できます。これにより、オ`プンソ`スの卆贋vSだけでなくソフトウェア?サプライチェ`ンの辛來がされ、すべての卆贋vSのリスクを蛍裂することが辛嬬となるのです。
マルウェアの返
好蔦澆聾なる吭を隔って、吭のあるパッケ`ジをオ`プンソ`スのエコシステムに、あるいはアプリケ`ションに岷俊僕りzみ、ビルド桟廠を盃墾する辛嬬來を互めています。このような嶽窃のマルウェアを奮するには、による、怏みzみマルウェア盾裂を聞喘した蒙歩な侘塀の盾裂が駅勣です。
@A議なリスクの蒙協と酌篇
SDLC坪は砿尖されているため芦畠だと房っているかもしれませんが、械に芦畠でありAけるとは泙蠅泙擦鵝Black Duck Supply Chain エディションは、伏撹されたSBOMとインポ`トされたSBOMのI圭の卆贋vSを@A議に盾裂し、オ`プンソ`スの巌樋來、シ`クレット、マルウェア、吭のあるパッケ`ジをOして、駅勣な岑を堀やかに戻工します。
鴛永リスクとライセンス?コンプライアンスの砿尖
ほぼすべてのサ`ドパ`ティ?ソフトウェア、蒙に或皆皆には、採らかの侘塀の鴛永またはライセンス吶暦が根まれています。これらの吶暦を恆便しない魁栽、蒙にソフトウェアを塘下する怏岶にとって、謹寄な継喘がかかる潤惚を孃く辛嬬來があります。
Black Duck は、卆贋vSによってvB原けられたオ`プンソ`ス?ライセンスを徭啜弔没Reし、OSSがどのようにコ`ドベ`スに函りzまれたかAI コ`ディング アシスタントU喇などにvSなく、アプリケ`ションのライセンス、デプロイ、塘下圭隈との昇栽にvするガイダンスを戻工します。
匍嶽阿粒У或珂号鯉のサポ`ト
ほとんどのソフトウェアの戻工宀は、さまざまな匍順の嫌レい綱人にu瞳を戻工しています。これらの光綱人は、謹くの魁栽、ベンダ`にして鏡徭の皆京或珂勣周を隔っています。
Black Duckは、すぐに聞喘できるカスタムSBOMエクスポ`ト?テンプレ`トを戻工していおり、旋喘宀はm俳な辛來をQ協し、それらの勣周を困燭垢茲ΔSBOMをRり卦し{屁することができます。
もっと蠅靴岑る
Black Duck Supply Chain エディションは、ソフトウェア?サプライチェ`ンの辛來を戻工し、その辛來に児づいて尅る玲い、栽尖議なSBOM伏撹によってそれを喟A晒することができます。これにより、セキュアなアプリケ`ションをBし、ソフトウェア?サプライチェ`ンのリスクを砿尖、蒙協するためのデュ`デリジェンスを佩っていることを幣し、人の佚mを誼ることができるのです。
Continue Reading
?ts=1712670360042&$responsive$)
Securing the software supply chain with Black Duck Supply Chain Edition
What is the Xz Utils Backdoor : Everything you need to know about the supply chain attack
