テクマトリックスと、スウェーデンのFOSSIDは、FOSSIDが開発したオープンソースソフトウェアのセキュリティ脆弱性検出ツール「VulnSnippet Finder(ヴァルン スニペット ファインダー)」の、日本国内での販売開始を、3月2日に発表した。
「VulnSnippet Finder」は、コード行(スニペット)単位でFOSSIDナレッジベースと照合し、オープンソースコンポーネントや自社開発のソースコードに挿入されたオープンソースの一致箇所を検索して、セキュリティ脆弱性の原因となり得るコード行(スニペット)を検出する。
「VulnSnippet Finder」の利用によって、企業はソフトウェアに含まれるオープンソースソフトウェアのセキュリティ脆弱性を引き起こすコードスニペットの検出が可能になり、より正確かつ迅速に、オープンソースソフトウェアのセキュリティ脆弱性情報を確認できる。
ナレッジベースには、「National Vulnerability Database(NVD)」に加えて、Bugzillaなどのリポジトリも脆弱性情報のデータベースとして採用している。
FOSSIDスキャンエンジンおよびオープンソースナレッジベースへのアドオンであり、「FOSSID」のコマンドラインインターフェースから利用することが可能で、該当コードを脆弱性情報とともに、JSON形式でサポートする。
「FOSSID」のGUI上から、対象のソースファイルをドラッグ&ドロップするだけでスキャンを実行できるので、開発者はオープンソースソフトウェアを製品に組み込む前の段階から、脆弱性を引き起こすコードスニペットの有無を確かめられる(VulnSnippet FinderとFOSSIDのライセンスが必要)。
この記事は参考になりましたか?
- この記事の著者
-
CodeZine編集部(コードジンヘンシュウブ)
CodeZineは、株式会社翔泳社が運営するソフトウェア開発者向けのWebメディアです。「デベロッパーの成長と課題解決に貢献するメディア」をコンセプトに、現場で役立つ最新情報を日々お届けします。
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
