シノプシスは4月17日、ソフトウェア・サプライチェーン上のリスクを軽減するための新しいツール「Black Duck Supply Chain Edition」を発表した。
本ツールは、「オープンソース検出技術」「サードパーティー製ソフトウェア部品表(SBOM)自動解析機能」「マルウェア検出機能」を組み合わせることで、オープンソースやサードパーティー製、AI生成のコードに由来するソフトウェアリスクを包括的に把握する。開発チームとセキュリティチームは、本ツールの導入により、アプリーケーション・ライフサイクル全体にわたってコードの依存関係を把握し、セキュリティ脆弱性や悪意のあるパッケージ、ライセンス違反や競合を特定して解決することができる。
本サービスの主な機能は、以下の通り。
- 複数のオープンソース検出テクノロジー:「パッケージ依存関係」「CodePrint」「スニペット」「バイナリ」「コンテナ」の解析を含む包括的なソフトウェア解析テクノロジーを組み合わせ、あらゆるプログラミング言語のオープンソース・コンポーネントを正確に識別する。
- サードパーティーのSBOMのインポートと解析:サードパーティーのソフトウェア・サプライヤーからSBOMをインポートし、ソフトウェアに含まれるオープンソース、商用、自社製のコンポーネントを自動的にカタログ化する。
- マルウェアの検出:ビルド後に解析を実行し、疑わしいファイルなどのマルウェアの存在を検出する。
- リスクの特定と軽減:生成したSBOMとインポートしたSBOMの両方で、オープンソースの脆弱性や無防備な秘密情報、マルウェア、悪意のあるパッケージを継続的に監視する。
- 知的財産リスクとライセンスのコンプライアンス管理:依存関係にあるソフトウェア・ライセンスを自動的に特定し、アプリケーションのライセンス取得、デプロイ、配布に関する義務やほかのライセンスとの競合についてガイダンスを提供する。AIが生成したコードも解析し、著作権またはライセンス義務の対象となる可能性のある隠れたオープンソース・スニペットを特定する。
- 業界標準のSBOM生成:オープンソース、商用、自社製のすべてのコンポーネントの依存関係を含むSBOMをSPDXまたはCycloneDX形式で提示し、規制の要件に適合させる。
この記事は参考になりましたか?
- この記事の著者
-
CodeZine編集部(コードジンヘンシュウブ)
CodeZineは、株式会社翔泳社が運営するソフトウェア開発者向けのWebメディアです。「デベロッパーの成長と課題解決に貢献するメディア」をコンセプトに、現場で役立つ最新情報を日々お届けします。
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
