• BPnet
  • ビジネス
  • IT
  • テクノロジー
  • 医療
  • 建設・不動産
  • TRENDY
  • WOMAN
  • ショッピング
  • 転職
  • ナショジオ
  • 日経電子版

ITpro EXPO 2017

会 期2017年10月11日~10月13日会 場東京ビッグサイト
来場事前登録(終了しました)
セミナー登録(終了しました)
ITpro EXPO 2017速報

ブラック・ダック、オープンソースの3リスクを可視化する「Black Duck Hub」

高橋 秀和=ITpro 2017/10/13 ITpro

 ブラック・ダック・ソフトウェアは、2017年10月13日まで東京ビッグサイトで開催中の「ITpro EXPO 2017」に、オープンソース・ソフトウエア(OSS)を利用する企業のリスクを管理するソフト「Black Duck Hub」を展示している。セキュリティ上のリスクだけでなく、ライセンス管理や運用面でのリスクを数値化して提示してくれる。

OSSのリスクを管理する「Black Duck Hub」。3つのリスクを可視化
[画像のクリックで拡大表示]

 Black Duck Hubは、OSSを使ったシステムのリスクを、セキュリティ、ライセンス、運用の3領域で管理する。スキャンツールやソースコード管理ソフトの連携ツールを通じて、ユーザーのアプリケーションのソースコードを走査。Black Duck Hubにアプリケーションが利用するOSSの情報を収集し、その情報をブラック・ダックが運営するデータベースと突き合わせ、それぞれリスクの度合いを高・中・低の3段階で判定する。

スキャンしたソースコードが利用するOSSの脆弱性と状態を確認
[画像のクリックで拡大表示]

 セキュリティは、脆弱性の深刻度を示すCVSSスコアで分類する。ライセンスは、不明なもの、ソースコード開示義務が生じるものなどリスク高とする。運用は、OSSの開発者数やコードの追加・変更(コミット)数、開発年数を基に高中低を判定する。

 脆弱性の情報は、NVDやJVNのほか、米ブラック・ダック・ソフトウェア独自のセキュリティチームが50人体制で提供。脆弱性情報の解決策を、NIST運営の脆弱性情報データベースの「NVD」や、JPCERT/CCとIPAの共同運営の「JVN」などより平均で3週間ほど早く提示できるという。解析した情報は、Black Duck Hub以外に「Open Hub」サイトで無償公開している。

OSSのリスクは「Open Hub」サイトで無償公開。世を騒がせたHeartbleed脆弱性の発覚を機に、OpenSSLの開発者数が増えているのが分かる
[画像のクリックで拡大表示]

 価格はソースコードの量やプロジェクトの数に応じた個別見積もりで、数百万円程度から。デモ機では328Mバイトのソースコードを5分程度でスキャンし終えていた。

あなたにお薦め

連載新着

連載目次を見る

今のおすすめ記事

ITpro SPECIALPR

What’s New!

経営

アプリケーション/DB/ミドルウエア

クラウド

運用管理

設計/開発

サーバー/ストレージ

クライアント/OA機器

ネットワーク/通信サービス

セキュリティ

もっと見る