「Black Duck Hub」は、コード内で使われているオープンソースを検出し、セキュリティ上の既知の脆弱性を識別、それに対する修正の分類、スケジューリング、追跡を行うことができるという。
オープンソースの脆弱性が毎年新たに4000個以上報告されているなかで、何千個もの未知のオープンソースの脆弱性が気づかれないままに放置されている例もあるという。
「Black Duck Hub」は、包括的な言語対応を行っているBlack DuckのKnowledgeBaseを利用することにより、ライセンスと脆弱性データを管理している。
「Black Duck Hub」は、ビルドのプロセスの一部として実行され、オープンソースがコードストリームに入っていくと、それを自動的に検出し、既知の脆弱性を持つオープンソースライブラリに対してフラグを立てる。
脆弱性の詳細に基づいて、アプリケーションとポートフォリオのリスク評価、およびオープンソースのライセンスとコミュニティ活動のリスク評価を行い、修正のスケジューリング機能と追跡機能により、セキュリティ担当者は、重要な脆弱性に対して修正が行われていることを確認できるとしている。
この記事は参考になりましたか?
- この記事の著者
-
EnterpriseZine編集部(エンタープライズジン ヘンシュウブ)
「EnterpriseZine」(エンタープライズジン)は、翔泳社が運営する企業のIT活用とビジネス成長を支援するITリーダー向け専門メディアです。データテクノロジー/情報セキュリティの最新動向を中心に、企業ITに関する多様な情報をお届けしています。
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
この記事は参考になりましたか?
この記事をシェア
