ブラック・ダック・ソフトウェア、脆弱性検出、修正セキュリティソリューション「Black Duck Hub」を発表

ブラック・ダック・ソフトウェアは4月10日、セキュリティソリューション「Black Duck Hub」を発表した。これはセキュリティ担当者や開発担当者がオープンソースの脆弱性を検出・修正するための、包括的なオープンソースのセキュリティソリューション。Black Duck Hubにより、自社コード内で使われているオープンソースを検出し、セキュリティ上の既知の脆弱性を識別、それに対する修正の分類、スケジューリング、追跡を行なうことができる。

大部分の企業で展開されているソフトウェアにおいては、平均して30%以上がオープンソースソフトウェア(OSS)だが、どのオープンソースをどこに使っているかを認識している企業は数少ないと言える。オープンソースの脆弱性が毎年新たに4000個以上報告されている現状において、いかなるオープンソースを組織内で使っているか、理解しておくことは極めて重要だ。一般的な企業では、何千個もの未知のオープンソースの脆弱性が気づかれないままに放置されている。Black Duck Hubでは、使用されているオープンソースを見つけて、オープンソースの既知の脆弱性と照合し、修正作業の追跡を行う。Black Duck Hubにおいては、Black DuckのKnowledgeBaseを利用することにより、ライセンスと脆弱性データを管理している。

Black Duck Hubは、ビルドのプロセスの一部として実行され、オープンソースがコードストリームに入っていくとそれを自動的に検出し、既知の脆弱性を持つオープンソースライブラリに対してフラグを立てる。脆弱性の詳細に基づいて、アプリケーションとポートフォリオのリスク評価、およびオープンソースのライセンスとコミュニティ活動のリスク評価を行う。修正のスケジューリング機能と追跡機能により、セキュリティ担当者は、重要な脆弱性に対して修正が行われていることを確認できる。

Black Duck Hubは、オープンソース ソフトウェアの使用状況について短期間で把握する必要があり、特にopen source securityのリスクを低減するソリューションを探しているセキュリティ担当者、開発担当者や管理者を支援するためのセキュリティソリューションとなっている。