サイト内の現在位置を表示しています。

Black Duck - 特長/機能

Black Duckの特長

(1) 常に最新のOSS情報を参照可能

Black Duckでは、GitHub上に存在するOSSのスキャンをサポートしています。
OSS情報はSynopsys社が随時アップデート(※)しており、常に最新の情報を参照することができます。
(※)…OSS情報は毎週、脆弱性情報は毎日アップデートされています。

(2) 広範囲の脆弱性情報をより速く入手可能

OSSの脆弱性情報はNVDと独自データベースと異なる2つの脆弱性情報データベースからそれぞれリアルタイムに取得することができます。
通知機能も備えていますので、いずれかのデータベース上でリストに含まれているOSSの脆弱性情報が公開された段階で、ユーザー(開発者など)は対応すべき脆弱性情報を確認することができます。

(3) 開発製品に含まれるOSSを高速に自動特定が可能

製品のファイル構成などから作成するハッシュ情報をもとに、Synopsys社のデータベースとOSS照合を高速で行い、自動特定まで行います。(通信されるのはハッシュ情報のみで、ソースコードは社外に送信されません)

(4) 日本語対応

日本語化されたUI及び、オンラインヘルプが利用可能です。またNECが独自に作成したガイド類もご用意があります。

(5) OSS情報データベースはSynopsys社が全て管理

お客様は常に最新の情報を参照でき、データベースへのアップデート適用によるメンテナンスコストの増加や、アップデート中のサービスダウンもありません。(アプリケーションのアップデートは手動で行う必要があります)
ローカルサーバ上にOSS情報データベースを持つ必要はなく、少ないディスク容量のサーバでも動作可能です。

(6) APIを利用した機能拡張も可能

標準のREST APIを利用することで、別のシステムやアプリケーションからBlack Duck上の各種データを取得・操作することが可能です。

Black Duckの製品構成

構成イメージ

  •  

■OSSライセンス違反対策
 ・システムのOSSライセンス情報を特定し、管理・編集機能を提供
 ・組み込まれたOSSのソースコードを検出(スニペットスキャン)

■OSS脆弱性対策
 ・一般的なCVE情報に加え、一般公開していない独自の脆弱性データベースも参照し、効果的な脆弱性対策を実現
 ・4回/日の頻度で脆弱性情報を取得。迅速な新規脆弱性の検知を実現。

■OSS運用リスク対策
 ・OSSのアップデート状況やコミット数などを観点に運用上のリスクを評価

■Bainary検査機能(オプション)
 ・コンパイル済みのソフトウェア、他案件からの引用ソフトウェアなど、ソースコードがない物件内のOSS検出。
 ・検出されたコンポーネントはソースコードスキャンで検出されたコンポーネント同様にWebUI上で管理。

■暗号モジュール検出機能(オプション)
 ・各検出コンポーネントに含まれる暗号アルゴリズムを特定
 ・脆弱な暗号を指摘すると共に、暗号輸出規制の遵守をサポート。

■豊富な連携プラグイン (Integrations)
 ・CIツールをはじめ、パッケージマネージャ、IDE、リポジトリマネージャなどといった、様々な開発支援ツール群と
  BlackDuckを直接連携。
 ・開発シーンに合わせた形で統合。