Black Duckのソフトウェア・コンポジション解析(SCA)は、コードベース、アプリケーション、またはコンテナ内のオープンソースとサードパーティの依存関係を自動的に特定し、ソフトウェア・サプライチェーンのセキュリティを確保するのに役立ちます。

完全な可視性

複数のスキャン・テクノロジにより、ソースコード、コンテナ、バイナリ内のオープンソース、サードパーティ、およびカスタム・コンポーネントの依存関係を完全に把握できます。

速やかな修正

独自に調査された脆弱性、ライセンス、コンポーネントの健全性に関する分析情報により、コンポーネントの選択、問題の優先順位付けと修正が合理化されます。

自動化されたガバナンス

すぐに使えるカスタマイズ可能なポリシーにより、オープンソースのガバナンスを開発ワークフローやツール・チェーンに統合し、自動化できます。

ソフトウェア・サプライチェーンを管理する

モダン・アプリケーションは単に構築されるだけではなく、組み立てられています。コードの75%以上は、オープンソースおよびサードパーティのソフトウェア・サプライチェーンの依存関係から派生しています。Black Duck SCAを使用すると、アプリケーションで使用されるコンポーネントを自動的に追跡および管理できます。

  • コードの内容を理解する
    Software Composition Analysis Tools Table

    直接的および推移的な依存関係の速やかな分析と、ソースコードおよびバイナリ・コード・スキャン、およびオープンソース・スニペット検出を組み合わせて、あらゆるソフトウェア(AIで生成されたコードも含む)の依存関係を特定します。

  • オープンソース・ポリシーを適用する
    Open Source Policies Rule Editor for Software Composition Analysis

    標準ポリシーを一度定義すれば、チームやアプリケーション全体に一様に適用できるため、リスクの高いコンポーネント、ライセンス・タイプ、脆弱性が運用環境に反映されるのを防ぐことができます。

  • リスクを特定し、優先順位を付けて対処する
    Software Risk Analysis Dashboard Screenshot

    重要性の高いセキュリティ、コンプライアンス、コンポーネントの健全性リスクに焦点を絞り、ドリルダウンして詳細かつ正確な分析情報を取得することにより、コンポーネントがリスクを引き起こす理由、重大度、およびチームがそれにどのように対処できるかを理解するのに役立ちます。

  • 包括的なSBOMを構築する

    業界、規制、顧客の要件を満たすために、SPDXおよびCycloneDXソフトウェア部品表(SBOM)を生成します。サプライヤーからのSBOMを統合して、サプライチェーンのコンポーネントとリスクを包括的に把握します。

お使いの環境に応じたソフトウェア・コンポジション解析

開発スタックがどのようなものであっても、Black Duckを使用すると、SCAを開発とDevOpsのワークフローおよびツールチェーンにシームレスに統合できます。

Cloud

クラウド上で

最新の開発に最適化された使いやすいSaaSソリューションをお探しですか? Polaris fAST SCAを使用すると、ソースコード管理ツールと継続的インテグレーション・イベントによってトリガされる自動スキャンにより、オープンソースのセキュリティ・リスクを数分でオンボードして管理を開始することができます。 

Polaris fAST SCAの詳細はこちら
SAST on premise

オンプレミス

現在の環境にデプロイできるSCAソリューションが必要ですか? Black Duckは、エアギャップ環境のサポートを含む、オンプレミスのデプロイオプションを提供します。また、Software Risk Managerを使用すると、ソフトウェア・コンポジション解析を包括的なアプリケーション・セキュリティ体制管理ソリューションに統合できます。

Software Risk Managerの詳細はこちら
IDE

IDE(統合ソフトウェア開発環境)で

開発のペースを落とさずにセキュリティ・テストをシフトレフトしたいと思いませんか? Code Sight™ IDEプラグインを使用すると、コードをチェックインする前に、オープンソースのセキュリティとコンプライアンスの問題を見つけて修正できます。Code Sightは脆弱なコンポーネントにフラグを立て、最適な修正オプションに関するガイダンスを提供します。 

Code Sight™の詳細はこちら

ユニバーサルSCAスキャン・エンジンとコンポーネントの分析情報

Black DuckのSCAソリューションは、スキャン、解析、データ・テクノロジの共通セットに基づいて構築されており、クラウド上、オンプレミス、IDE内のいずれでも同様に正確かつスケーラブルな結果を速やかに得ることができます。

複数の検出テクノロジ

複数のスキャン・エンジンにより、パッケージ・マネージャーの情報とソースコードおよびバイナリの解析が結合され、言語に関係なく、あらゆるソフトウェアの依存関係を完全かつ正確に検出できます。
詳細はこちら

包括的なKnowledgeBase™

630万を超えるコンポーネントに関するオープンソース・プロジェクト、セキュリティ、ライセンスの分析情報により、ソフトウェア・ライセンス・モデルと互換性のある安全で高品質なコンポーネントを確実に使用できます。
詳細はこちら

リアルタイムのセキュリティ警告

独自の調査を行うBlack Duck Security Advisories(BDSA)は、新たに見つかったオープンソースの脆弱性を、NVDを凌駕する精度と修正に関する分析情報とともに同日中に通知します。
詳細はこちら

Black Duckの利点

Forrester Wave Leader 2024 image

2017年以来、Black Duckは、現在の製品、戦略、市場でのプレゼンスを基準にして評価を行うForrester Wave™によりソフトウェア・コンポジション解析のリーダーに選出されています。

私たちがリーダーである理由をご覧ください
JenkinsやGitHub Actionsを含む当社のCI/CDプロセスにうまく統合されており、カスタマイズされたクエリを作成するための便利なAPIを備えています」

トレンドマイクロ

もっと学ぶ
プロジェクト・マネージャーは、任意のプロジェクトにポリシーを設定し、Black Duckを開いて使用中のオープンソースに関する完全なレポートを取得できます」

NOSER ENGINEERING AG

世界の 4000 以上の組織がブラック・ダックを信頼しています

顧客の事例研究を閲覧する
Fortune 100社中49位
ソフトウェア企業
トップ10のうち6位
金融サービス会社
トップ10のうち10位
テクノロジ企業
トップ10のうち6位
ヘルスケア企業

リソース

Forrester Wave™: ソフトウェア・コンポジション解析(2023年第2四半期)

SCAはソフトウェア・サプライチェーンのセキュリティを確保するために不可欠です。
Black DuckがSCAのリーダーである理由をご覧ください

日立製作所

日立製作所がオープンソースの可視化をどのように実現したのかご覧ください

ガートナー・マジック・クアドラントのアプリケーション・セキュリティ・テスト部門

Black Duckがリーダーである理由をご覧ください

セブン&アイ・ネットメディア

Black Duckを活用した網羅的な脆弱性チェックを導入

価格のお問い合わせ