合併・買収（M&A）取引の進行中は、コードの内容が重要になります。アプリケーション内に未確認のオープンソースが存在すると、ライセンス違反が生じて高い代償を払う危険性があります。また、内製、オープンソース、およびその他のサードパーティ製のソフトウェアに潜むセキュリティの欠陥が自社のソフトウェア資産の価値に重大な悪影響を与える可能性があります。
買収側、被買収側のどちらにとっても、リスクを低減するための迅速で信頼性が高く、かつ包括的なソフトウェア監査を実現する能力を持つ監査パートナーが必要です。
Black Duckソフトウェア監査は、買収対象企業または自社のソフトウェアの多様なソフトウェア・リスクを迅速に評価するために必要な情報をご提供します。オープンソースのライセンス上の義務、アプリケーション・セキュリティ、コード品質に関するリスクの全体像を把握できるため、信頼性できる情報に基づいた意思決定が可能になります。
ブラック・ダックによる20 万件以上のアプリケーション・セキュリティ・スキャンに基づく重大な脆弱性に関する知見
オープンソース/サードパーティ製コードの監査では、Black Duck KnowledgeBase™を活用して、対象コードベースのオープンソースの完全な部品表（BoM）を提示し、すべてのオープンソース・コンポーネントと関連するライセンス契約、およびコンフリクト解析を示します。
オープンソース・リスク評価（OSRA）では、オープンソースとサードパーティ製コードの監査に基づき、既知のセキュリティ脆弱性やメンテナンス・リスクなど、コードベース内のオープンソース・リスクの拡張ビューを表示します。このビューは、高水準のアクションプランを提供し、調査と可能な対策の優先順位を示します。
Webサービス・リスク監査（WSRA）では、アプリケーションで使用されている外部Webサービスの一覧と、法律上およびデータ・プライバシー上の潜在的なリスクに関する分析をご提供します。Webサービスのリスクをガバナンス、データ・プライバシー保護、品質の3つの主要カテゴリーについて即座に評価できる概要レポートもご用意します。
ペネトレーション・テスト（エシカル・ハッキング）監査では、アプリケーションをフル稼働状態で検査することにより、ソフトウェア資産のセキュリティの堅牢性を評価します。この監査では、セキュリティ・コントロール（WAFや入力妥当性検証など）をバイパスする探索的リスク解析を行ったり、ビジネス・ロジックやユーザー認証の悪用を試行し、システムにアクセスして損害をもたらすハッカーの行動の実例を示します。
SAST監査では、ツールを利用した自動スキャンとソースコード・レビューを組み合わせて、SQLインジェクション、クロスサイト・スクリプティング、バッファ・オーバーフロー、その他のOWASP Top 10などの重大なソフトウェア・セキュリティ脆弱性を体系的に検出します。
セキュア・デザイン・レビューは、パスワードの保存、IDとアクセスの管理、暗号化の使用などの主要なセキュリティ管理策の設計を業界のベストプラクティスと照らし合わせて評価し、構成の誤り、脆弱性、誤用、欠落について判断します。また、アプリケーションまたはコードのテストや分析を行うことなく、アプリケーションの設計におけるセキュリティ管理策に関連するシステムの欠陥を見つけ出します。
量的コード品質監査では、静的解析ツールとマニュアル・コードレビューを組み合わせてコードの品質を解析し、結果を業界ベンチマークと比較して自社開発コードの品質、再利用可能性、拡張性、保守性を評価します。エキスパートが結果を解釈し、コード品質の短所への対策案を提示します。
定性的コード品質監査では、ソフトウェア開発ライフサイクル（SDLC）を構成するプロセスとプラクティスの徹底した解析を行います。エキスパートが少数のキーパーソンと詳細な面接を行い、コーディング・スタンダード、プロセス、ツールなどの開発プラクティスの品質と成熟度を分析します。その結果を踏まえて、コード品質を向上させ、開発・保守コストを削減するための提案を行います。
暗号化監査では、独自開発のオープンソースやその他のサードパーティ製ソフトウェア・コンポーネントの暗号化機能を特定して規制当局に適切な情報を開示できるようにすることで輸出規制を確実に遵守し、輸出の制限を回避します。また、この監査により、製品内の暗号化コードが社内のセキュリティ要件を満たしていることを確認できます。
