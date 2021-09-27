詳細な脆弱性の特定と効果的な修正

Forresterの報告書は、「シノプシスの脆弱性検出機能はこのForrester Waveで最強の機能に数えられる」としています。

Black Duckのマルチファクター・スキャンは、100以上の言語、依存関係分析、バイナリ解析、Codeprint解析、コード・スニペット検出、カスタム・コンポーネント検出のサポートと連携しています。アプリケーションの中で宣言された依存関係と宣言されていない依存関係の両方を検出することで、アプリケーションのコンテンツと関連する脆弱性およびライセンスの包括的で動的なインベントリを利用できます。

リスクを評価する際には網羅性と同様に精度も重要です。Forresterの報告書は、「顧客の評価では、精度が高いことが評価された。Black Duckから問題として報告された場合は、実際に問題が発生している」としています。ユーザーがアプリケーションを信頼する要因の一つは、発見された問題が実際にリスクをもたらすものであると確信できることです。

脆弱性の特定は、アプリケーション・セキュリティの1ステップにすぎません。脆弱性を見つけたら実際に対処する必要があります。その対処のためにBlack Duck Security Advisories（BDSA）サービスがあります。BDSAは脆弱性を把握し、優先順位を付け、修復するために必要なあらゆる情報をご提供します。BDSAには、重大度スコアリング、到達可能性、脆弱性の説明、影響を受けるバージョンの詳細、アップグレード/パッチ/回避策に関する重要なガイダンスが含まれます。これらの有益な詳細情報はすべて、シノプシスのCybersecurity Research Center（CyRC）が独自に作成した記録です。CyRCはシノプシスのオープンソースKnowledgeBaseを活用し、20,000以上のフォージやリポジトリから収集した390万件を超えるオープンソース・プロジェクトを対象にした、オープンソースのプロジェクト、ライセンス、セキュリティ情報に関する業界屈指の包括的なデータベースです。

Forresterの調査結果はこのような情報の充実度と符合すると考えられ、報告書には「レビューでは、シノプシスは脆弱性の修正ガイダンスと優先順位の点で高く評価された」と記されています。