開発支援 脆弱性診断 情報漏えい対策

WhiteSource:脆弱性などを解決できるOSS管理ツール--法令違反にも活用可能

OSS管理ツール「WhiteSource」は、プログラミング言語や開発ツール、開発環境を問わず、アプリケーションのどこにどのようなOSSが使用されているかをレポートで可視化できる。

WhiteSourceのポイント

  • 依存性を含む、全てのOSSコンポーネントは包括的なリストとして表示
  • これまで確認しきれなかった依存関係にあるライブラリも検出
  • 実際に参照されているかどうかを判断し、優先して対応すべき脆弱性を明示

WhiteSourceの製品解説

 「WhiteSource」(日本での販売代理店はGEDPソリューションズ)は、オープンソースソフトウェア(OSS)管理ツール。SaaSの形態で利用でき、OSSのセキュリティやコンプライアンスを管理する。

編集部おすすめの関連記事

 プログラミング言語や開発ツール、開発環境を問わず、アプリケーションのどこにどのようなOSSが使用されているかを瞬時にレポートで可視化できる。OSSのライセンスや脆弱性、バグなどを検知しアラートしてくれる。

 全ての依存性を含む、全てのOSSコンポーネントは包括的なリストとして表示される。各コンポーネントについて製品の言語や説明、ライセンス、利用状況を確認できる。

 300万のコンポーネントや7000万のソースファイル、23万件の脆弱性などの情報からすばやくリスクを検知。これまで確認しきれなかった依存関係にあるライブラリも検出できるなど、高い検出率を誇っているとしている。

 解決策についても、クリック操作ですぐ確認することが可能。独自解析によって実際に参照されているかどうかを判断し、優先して対応すべき脆弱性を明示してくれる。

 WhiteSourceのOSSリポジトリデータベースに対して、OSSのコンポーネントを定期的に、自動的に相互参照することでビルドの全てのOSSコンポーネントとの依存性を自動的に識別する。OSSのコンポーネントを検索している間に報告されているバグやセキュリティリスク、望ましくないライセンス、各コンポーネントの新しいバージョンなどの情報を明確にする。

 脆弱なOSSコンポーネントがビルドに追加されたとき、新しい脆弱性情報(CVE)がリリースされてソフトウェアに影響を与えたときにリアルタイムにアラートが上がる。脆弱なコンポーネントのいずれかを修正する新しいバージョンやパッチがリリースされた時に通知を受け取ることもできる。

 ソフトウェアの深刻なバグについてもリアルタイムにアラートを入手可能。バグが、該当するバージョン以降で修正された場合も通知されるので、アップグレードするかどうかも決められる。

 さまざまなパラメータに応じてOSSコンポーネントの承認や拒否、内部承認プロセスについて自動ポリシーを設定できる。開発者が問題のあるコンポーネントを追加しようとするとアラートが表示される。

 新版のコンポーネントが利用可能になったときには、通知を受けられることでソフトウェアを最新の状態に保てる。同じバージョンを複数回追加するときもアラートが表示されることで重複作業を削除して、ソフトウェアのパフォーマンスを向上させられるという。

 DevOps環境へ簡単に組み込めるため、たとえば「Jenkins」でのビルドごとに自動実行し、セキュリティをチェック可能。より高いセキュリティ品質とスピーディーな開発を両立する“DevSecOps”が実現できるとしている。

WhiteSourceのまとめ
用途と機能OSS管理ツール
特徴新しい脆弱性情報(CVE)がリリースされてソフトウェアに影響を与えたときにリアルタイムにアラート。OSSコンポーネントの承認や拒否、内部承認プロセスについて自動ポリシーを設定。Jenkinsでのビルドごとに自動実行し、セキュリティをチェック可能
導入企業クオリカ、NTTデータ イントラマート、Sapiens Internationalなど

CNET_IDを登録して全ての記事を読む
(登録3分、無料)

CNET_IDはTechRepublic Japan/CNET Japan/ZDNet Japanでご利用いただける共通IDです。CNET_IDを登録することで、TechRepublic Japanの全ての記事を読むことができます。人気の記事にはこのようなものがあります。

「開発支援」で読まれている記事

TechRepublic Japanで人気の記事

編集部オススメ

トレンドまるわかり![PR]

財務・経理
人事・労務
マーケ・営業
購買・調達
生産・製造
データ分析
コミュニケーション
通信・通話
文書・コンテンツ
PC・モバイル
新興技術
ITインフラ
クラウドサービス
OS・ミドルウェア
開発
開発ツール
開発支援
ノンプログラミング開発ツール
データベース
運用
セキュリティ
クライアントセキュリティ
サーバーセキュリティ
ゲートウェイセキュリティ
メールセキュリティ
ウイルス対策
標的型攻撃対策
IDS/IPS
ファイアウォール
WAF
UTM
SIEM
フィルタリング
データ保護
アクセス管理
SSO
ワンタイムパスワード
IRM
情報漏えい対策
暗号化
脆弱性診断
その他セキュリティ

ホワイトペーパーランキング

  1. AWSが提唱する、モダン分析プラットフォームのアーキテクチャと構築手法
  2. AWS資料、ジョブに特化した目的別データベースを選定するためのガイド
  3. Zero Trust Workbook--ゼロ トラストの先にある世界を知るためのガイダンス
  4. 「ゼロトラスト」時代のネットワークセキュリティの思わぬ落とし穴に注意せよ
  5. データ駆動型の組織でビジネスの俊敏性を実現するには?戦略的な意思決定とイノベーションを両立へ

Follow TechRepublic Japan

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]