TOPセキュリティ > ソフトウエアサプライチェーンのセキュリティーを守るためのツー...

セキュリティ

ソフトウエアサプライチェーンのセキュリティーを守るためのツール7選(下)

2022/06/10

Ericka Chickowski CSO

 オープンソースのライブラリー「Apache Log4j」で2021年12月に見つかった脆弱性は波紋を広げた。今やエンタープライズソフトウエアにとって最大のリスクは、社内のチームが自ら開発するコードのセキュリティーとは限らない。現在のソフトウエアのコードベースではコンポーネントやライブラリーをはじめ、オープンソースの各種のコードが大きな割合を占める。こうしたコードに潜む問題点は表層を見ただけでは分からない。

前回から続く)

Credit: Maximusnd / Getty Images
Credit: Maximusnd / Getty Images

5. Synopsys Black Duck

 米SynopsysのSCAツール「Black Duck」は、依存関係解析、コードプリント解析、バイナリー解析、スニペット解析の4種類の解析に対応した製品で、ソフトウエアで使われているコンポーネントの把握や管理を行える。またSBOM作成機能も最近強化された。ポリシー管理の自動化にも対応する。

 Black Duckを含む同社のアプリケーションセキュリティーテスト用製品群はGartnerのマジック・クアドラントでリーダーの評価を得ている。オープンなプラットフォームのモデルを使ってSCAのほか、DASTやSAST、ペネトレーションテスト、ファジングなどさまざまなテスト機能に対応している点に主な価値がある。Gartnerの評価によるとSynopsysは、さまざまな開発スタイルとプログラミング技術を利用した複合的な開発を複数のチームで行う組織に適している。

↑ページ先頭へ