サイト内の現在位置を表示しています。

Black Duck - 特長/機能

Black Duckの特長

(1) 常に最新のOSS情報を参照可能

スキャンにより検出及びリスク情報の確認ができるOSSコンポーネント数は400万以上です。(2023/3時点)
OSS情報はSynopsys社が随時アップデート(※)しており、常に最新の情報を参照することができます。
(※)…OSS情報は毎週、脆弱性情報は毎日アップデートされています。

(2) 広範囲の脆弱性情報をより速く入手可能

OSSの脆弱性情報はNVDと独自DBと異なる2つの脆弱性情報データベースからそれぞれリアルタイムに取得することができます。
通知機能も備えていますので、いずれかのデータベース上でリストに含まれているOSSの脆弱性情報が公開された段階で、ユーザー(開発者など)は対応すべき脆弱性情報を確認することができます。

(3) 開発製品に含まれるOSSを高速に自動特定が可能

製品のファイル構成などから作成するハッシュ情報をもとに、Synopsys社のDBとOSS照合を高速で行い、自動特定まで行います。(通信されるのはハッシュ情報のみで、ソースコードは社外に送信されません)

(4) 日本語対応

日本語化されたUI及び、オンラインヘルプが利用可能です。またNECが独自に作成したガイド類もご用意があります。

(5) OSS情報DBはSynopsys社が全て管理

お客様は常に最新の情報を参照でき、DBへのアップデート適用によるメンテナンスコストの増加や、アップデート中のサービスダウンもありません。(アプリケーションのアップデートは手動で行う必要があります)
ローカルサーバー上にOSS情報DBを持つ必要はなく、少ないディスク容量のサーバーでも動作可能です。

(6) APIを利用した機能拡張も可能

標準のREST APIを利用することで、別のシステムやアプリケーションからBlack Duck上の各種データを取得・操作することが可能です。

Black Duckの製品構成

構成イメージ

  •  

Black Duckは4つのモジュール、2つの追加機能を組み合わせて構成することができ、必要な機能を事業の用途に合わせて、自由に組み合わせることが可能です。この中からお客様が必要とされる機能のみを選択、導入することができます。

■Visibility Module(基本モジュール)
多種多様なOSSの自動検出機能。
業界最大規模のOSS情報DB Black Duck KnowledgeBase™と、独自のスキャン機構を組み合わせた、高速かつ高精度なOSS検出機能を搭載。
スキャン機能、OSSの自動検出機能、関連する脆弱性情報の抽出・通知機能などを提供。
■License Compliance Module(オプション)
プロジェクトごとにOSSのライセンス情報(Copyright表記やライセンス本文)を特定し、管理・編集機能を提供。また、組み込まれたOSSのソースコードを検出するスニペットスキャンが利⽤可能。
■Security Module(オプション)
脆弱性DBとしてNVDと商用脆弱性DBの2種類を参照抽出機能により、検出された脆弱性情報は、すぐに担当者へメールで通知。
より迅速かつ広範囲な脆弱性対策を実現。
■Policy Module(オプション)
社内で定めたOSSの利用ルール(GPLedなOSSは利用禁止、○○というOSSは利用禁止等)を、ポリシーとしてBlack Duckに登録することで、検出されたOSSに対する自動判定が可能。脆弱性検出時と同様、ポリシー違反時も担当者へメールで通知し、開発実態が社内ルールから逸脱することを防ぐポリシー管理機能を提供。
◼ Professional Edition
追加モジュール3つを包含した高コスパ構成。
■Bainary検査機能(オプション)
コンパイル済みのソフトウェア、他案件からの引用ソフトウェアなど、ソースコードがない物件内のOSS検出可能。検出されたコンポーネントはソースコードスキャンで検出されたコンポーネント同様にWebUI上で管理可能。
■暗号モジュール検出機能(オプション)
 各検出コンポーネントに含まれる暗号アルゴリズムを特定し、脆弱な暗号を指摘すると共に、暗号輸出規制の遵守をサポート。
■豊富な連携プラグイン (Integrations)
CIツールをはじめ、パッケージマネージャ、IDE、リポジトリマネージャなどといった、様々な開発支援ツール群とBlackDuckを直接連携。開発シーンに合わせた形で統合。