オープンソースと商用コードの依存関係に潜む脆弱性、ライセンス競合、悪意のあるコード、およびAI生成コードを管理
2024年4月17日 東京発 - シノプシス(Synopsys, Inc.、Nasdaq上場コード:SNPS)は本日、ソフトウェア・サプライチェーンの上流に潜んでいるリスクを軽減するソフトウェア・コンポジション解析(SCA)の新ツールBlack Duck® Supply Chain Editionを発表した。Black Duck Supply Chain Editionは、オープンソース検出技術、サードパーティー製ソフトウェア部品表(SBOM)自動解析機能、マルウェア検出機能を組み合わせることで、オープンソースやサードパーティー製、AI生成のコードに由来するソフトウェア・リスクを包括的に把握することを可能にする。開発チームとセキュリティチームは、アプリーケーション・ライフサイクル全体にわたってコードの依存関係を把握し、セキュリティ脆弱性、悪意のあるパッケージ、ライセンス違反や競合を特定して解決することができる。
新ツールは、市場をリードするBlack Duckの機能をベースに構築されており、安全でコンプライアンスに準拠したアプリケーション構築を担当するチームに、サプライチェーン・セキュリティ対策に必要なあらゆる機能を提供する。
シノプシス ソフトウェア・インテグリティ・グループ ジェネラル・マネージャー Jason Schmittは、次のように述べている。「オープンソースおよびサードパーティー製コンポーネントの脆弱性や悪意のある改ざんを狙ったソフトウェア・サプライチェーン攻撃の増加に伴い、組織は自社のソフトウェア・ポートフォリオの構成を理解し、徹底的に精査することが重要です。そのためには、公開リポジトリからダウンロードされたオープンソース・コンポーネント、ベンダーから購入した商用ソフトウェア・パッケージ、AIコーディング・アシスタント生成のコード、アプリケーションのデプロイに使用されるコンテナやITインフラなど、さまざまなソースから取り込まれる継ぎはぎだらけのソフトウェア依存関係を常に警戒する必要があります。加えて、既知の脆弱性、無防備な機密情報、悪意のあるコードなど幅広いリスク要因を検出し、実用的な解決策を提示す機能も必要です。Black Duck Supply Chain Editionは、これらの必要な機能を整理し、標準化またはカスタマイズされたSBOM形式で解析結果を提供する業界最高水準の機能を備えています」
Black Duck Supply Chain Editionの主な機能は以下の通りである。
パッケージ依存関係、CodePrint™、スニペット、バイナリ、コンテナの解析を含む最も包括的なソフトウェア解析テクノロジーを組み合わせ、あらゆるプログラミング言語のオープンソース・コンポーネントを正確に識別する。
サードパーティーのソフトウェア・サプライヤーからSBOMをインポートし、ソフトウェアに含まれるオープンソース、商用、自社製のコンポーネントを自動的にカタログ化する。
ビルド後に解析を実行し、疑わしいファイル、望ましくない可能性のあるアプリケーション、プロテストウェア、疑わしいファイル構造などのマルウェアの存在を検出する。
生成したSBOM とインポートしたSBOMの両方で、オープンソースの脆弱性、無防備な秘密情報、マルウェア、悪意のあるパッケージを継続的に監視する。
依存関係にあるソフトウェア・ライセンスを自動的に特定し、アプリケーションのライセンス取得、デプロイ、配布に関する義務やほかのライセンスとの競合についてガイダンスを提供する。AIが生成したコードを解析し、著作権またはライセンス義務の対象となる可能性のある隠れたオープンソース・スニペットを特定する。
オープンソース、商用、自社製のすべてのコンポーネントの依存関係を含むSBOMをSPDXまたはCycloneDX形式で提示し、顧客、業界、または規制の要件に適合させる。すぐに使えるテンプレートを活用して、サプライチェーン下流の顧客が指定する詳細共有のレベルを満たすことができる。
Black Duck Supply Chain Editionは4月25日より一般提供を開始する。5月6日から9日まで米国・サンフランシスコで開催されるRSA Conferenceでシノプシス・ソフトウェア・インテグリティ・グループが展示を予定している(ブース番号1027)。
ツールの詳細は下記より入手可能。
シノプシス ソフトウェア・インテグリティ・グループについて
シノプシスのソフトウェア・インテグリティ・グループは、ソフトウェアを開発/提供するための手法の転換を実現する統合ソリューションを提供している。これにより開発チームは、リスクを最小限に抑えながらイノベーションを加速することが可能となる。シノプシスが業界をリードするソフトウェア・セキュリティ対策ツール・ポートフォリオならびにサービスは、世界で最も包括的なソリューションであるだけでなく、サードパーティー並びにオープンソースのツールとの相互運用も実現している。そのため、企業/団体は、現在使用している開発ソリューションを活用しつつ、自社に最適なセキュリティ対策手法を構築することができる。ソフトウェアの信頼性確保に必要となるあらゆる開発ソリューションを提供している企業はシノプシスのみである。
詳細な情報は、https://www.synopsys.com/ja-jp/software-integrity.htmlより入手可能。
シノプシスについて
シノプシス(Nasdaq: SNPS)は、電子設計自動化からシリコンIP、システム検証ならびに妥当性確認に至る、信頼性の高い包括的なシリコン to システム設計ソリューションの提供により、広がりゆく知の時代を切り開いている。幅広い業界の半導体およびシステム開発企業との緊密な協業を通じて、その研究開発能力と生産性を最大限にまで高め、明日の創造力に火をつける今日のイノベーションに貢献している。
詳細情報は、https://www.synopsys.com/ja-jpより入手可能。
# # #
Synopsysは、Synopsys, Inc.の登録商標または商標です。
その他の商標や登録商標は、それぞれの所有者の知的財産です。
<お問い合わせ先>
日本シノプシス合同会社 ソフトウェア・インテグリティ・グループPR事務局
(井之上パブリックリレーションズ内)
担当:塚田・増田
Email:synopsys@inoue-pr.com