オープンソースと商用コードの依存関係に潜む脆弱性、ライセンス竞合、悪意のあるコード、および础滨生成コードを管理
2024年4月17日 東京発 - シノプシス(草榴社区.、狈补蝉诲补辩上场コード:厂狈笔厂)は本日、ソフトウェア?サプライチェーンの上流に潜んでいるリスクを軽减するソフトウェア?コンポジション解析(厂颁础)の新ツールBlack Duck? Supply Chain Editionを発表した。Black Duck Supply Chain Editionは、オープンソース検出技術、サードパーティー製ソフトウェア部品表(SBOM)自動解析機能、マルウェア検出機能を組み合わせることで、オープンソースやサードパーティー製、AI生成のコードに由来するソフトウェア?リスクを包括的に把握することを可能にする。開発チームとセキュリティチームは、アプリーケーション?ライフサイクル全体にわたってコードの依存関係を把握し、セキュリティ脆弱性、悪意のあるパッケージ、ライセンス違反や競合を特定して解決することができる。
新ツールは、市場をリードするBlack Duckの機能をベースに構築されており、安全でコンプライアンスに準拠したアプリケーション構築を担当するチームに、サプライチェーン?セキュリティ対策に必要なあらゆる機能を提供する。
シノプシス ソフトウェア?インテグリティ?グループ ジェネラル?マネージャー Jason Schmittは、次のように述べている。「オープンソースおよびサードパーティー製コンポーネントの脆弱性や悪意のある改ざんを狙ったソフトウェア?サプライチェーン攻撃の増加に伴い、組織は自社のソフトウェア?ポートフォリオの構成を理解し、徹底的に精査することが重要です。そのためには、公開リポジトリからダウンロードされたオープンソース?コンポーネント、ベンダーから購入した商用ソフトウェア?パッケージ、AIコーディング?アシスタント生成のコード、アプリケーションのデプロイに使用されるコンテナやITインフラなど、さまざまなソースから取り込まれる継ぎはぎだらけのソフトウェア依存関係を常に警戒する必要があります。加えて、既知の脆弱性、無防備な機密情報、悪意のあるコードなど幅広いリスク要因を検出し、実用的な解決策を提示す機能も必要です。Black Duck Supply Chain Editionは、これらの必要な機能を整理し、標準化またはカスタマイズされたSBOM形式で解析結果を提供する业界最高水準の機能を備えています」
Black Duck Supply Chain Editionの主な機能は以下の通りである。
パッケージ依存関係、颁辞诲别笔谤颈苍迟?、スニペット、バイナリ、コンテナの解析を含む最も包括的なソフトウェア解析テクノロジーを组み合わせ、あらゆるプログラミング言语のオープンソース?コンポーネントを正确に识别する。
サードパーティーのソフトウェア?サプライヤーから厂叠翱惭をインポートし、ソフトウェアに含まれるオープンソース、商用、自社製のコンポーネントを自动的にカタログ化する。
ビルド后に解析を実行し、疑わしいファイル、望ましくない可能性のあるアプリケーション、プロテストウェア、疑わしいファイル构造などのマルウェアの存在を検出する。
生成したSBOM とインポートしたSBOMの両方で、オープンソースの脆弱性、無防備な秘密情報、マルウェア、悪意のあるパッケージを継続的に監視する。
依存関係にあるソフトウェア?ライセンスを自动的に特定し、アプリケーションのライセンス取得、デプロイ、配布に関する义务やほかのライセンスとの竞合についてガイダンスを提供する。础滨が生成したコードを解析し、着作権またはライセンス义务の対象となる可能性のある隠れたオープンソース?スニペットを特定する。
オープンソース、商用、自社製のすべてのコンポーネントの依存関係を含むSBOMをSPDXまたはCycloneDX形式で提示し、顧客、业界、または規制の要件に適合させる。すぐに使えるテンプレートを活用して、サプライチェーン下流の顧客が指定する詳細共有のレベルを満たすことができる。
Black Duck Supply Chain Editionは4月25日より一般提供を開始する。5月6日から9日まで米国?サンフランシスコで開催されるRSA Conferenceでシノプシス?ソフトウェア?インテグリティ?グループが展示を予定している(ブース番号1027)。
ツールの详细は下记より入手可能。
シノプシス ソフトウェア?インテグリティ?グループについて
シノプシスのソフトウェア?インテグリティ?グループは、ソフトウェアを開発/提供するための手法の転換を実現する統合ソリューションを提供している。これにより開発チームは、リスクを最小限に抑えながらイノベーションを加速することが可能となる。シノプシスが业界をリードするソフトウェア?セキュリティ対策ツール?ポートフォリオならびにサービスは、世界で最も包括的なソリューションであるだけでなく、サードパーティー並びにオープンソースのツールとの相互運用も実現している。そのため、企業/団体は、現在使用している開発ソリューションを活用しつつ、自社に最適なセキュリティ対策手法を構築することができる。ソフトウェアの信頼性確保に必要となるあらゆる開発ソリューションを提供している企業はシノプシスのみである。
详细な情报は、/ja-jp/software-integrity.htmlより入手可能。
シノプシスについて
シノプシス(Nasdaq: SNPS)は、電子设计自動化からシリコン滨笔、システム検証ならびに妥当性確認に至る、信頼性の高い包括的なシリコン to システム设计ソリューションの提供により、広がりゆく知の時代を切り開いている。幅広い业界の半導体およびシステム開発企業との緊密な協業を通じて、その研究開発能力と生産性を最大限にまで高め、明日の創造力に火をつける今日のイノベーションに貢献している。
详细情报は、/ja-jpより入手可能。
# # #
草榴社区は、草榴社区.の登録商標または商標です。
その他の商标や登録商标は、それぞれの所有者の知的财产です。
<お问い合わせ先>
日本シノプシス合同会社 ソフトウェア?インテグリティ?グループPR事務局
(井之上パブリックリレーションズ内)
担当:塚田?増田
贰尘补颈濒:synopsys@inoue-pr.com