サプライ・チェーン・リスクの予防には、コンテナの依存関係を全面的に把握することが不可欠ですが、パッケージ・マネージャーのシンプルなスキャンはこのカバレッジを提供していません。ブラック・ダックのコンテナ・セキュリティ・ソリューションは見落としを解消してリスク解決ワークフローをガイドします。
コンテナの可視性を確立
コンテナ・イメージをスキャンして、依存関係のレイヤー別ビューを取得します
脅威からコンテナを保護
コンテナの依存関係に含まれる既知の脆弱性と悪意のあるパッケージを明らかにします。
規制コンプライアンスを達成
ライセンスの競合に関して依存関係を評価し、コンテナ構成のSBOMを生成します。
ブラック・ダックのコンテナ・セキュリティ・ソリューションで、コンテナに含まれるリスクを管理してセキュリティを確保
レイヤーベースのスキャンでコンテナの可視性を確立
ブラック・ダックのソリューションはバイナリ・コンポジション解析を使用してコンテナをスキャンし、宣言されているかどうかに関係なく依存関係を特定します。レイヤーベースのイメージ・ビューに、依存関係が追加されたレイヤーや削除されたレイヤーが表示され、関心のあるレイヤーに基づいてビューをカスタマイズすることもできます。
依存関係のリスクに関する有意義な知見を得る
すべての依存関係を、関連するセキュリティ、ライセンス、健全性のリスクとともに特定します。Black Duck® Security Advisoriesは、問題の優先順位付けと解決に欠かせない豊富な脆弱性情報を提供します。また、継続的な脆弱性監視により、イメージの再スキャンなしで新たなリスクをチームに警告します。
コンテナ・スキャンを開発に統合して効率化を実現
ブラック・ダックのコンテナ・スキャンをソフトウェア開発ライフサイクルに統合することで、テストを効率化できます。スキャンは、ソース・コード・マネージャー、CI/CDパイプライン、バイナリ・レポジトリから実行できます。ポリシーを設定することで、違反の検出時にカスタム・ワークフローをトリガーし、アラートを送信し、ビルドをブロックすることができます。
包括的なSBOMを作成してコンテナの依存関係を評価
安全性要件と業界・政府規制により、正確なソフトウェア部品表(SBOM)の重要性がこれまでになく高まっています。ブラック・ダックのソリューションはコンテナ・イメージに含まれるすべての依存関係を特定し、自動的にSPDXまたはCycloneDX形式でSBOMを生成するため、内外のステークホルダーとの共有が簡単になります。
Black Duck SCAを使用したセキュアなコンテナ・スキャン
開発者はBlack Duck® SCAのセキュア・コンテナ・スキャンにより、1つのプロジェクトに含まれる多数のコンテナ・イメージをスキャンし、セキュリティとライセンスのリスクを特定して管理することができます。
コンテナ・セキュリティに関するその他のリソース
