オープンソースコードのセキュアな管理を行なうOSS Logisticsソリューションのリーディングカンパニーであるブラック・ダック・ソフトウェア株式会社は、本日Black Duck Hubを発表しました。これはセキュリティ担当者や開発担当者がオープンソースの脆弱性を検出・修正するための、業界で最も包括的なオープンソースのセキュリティ ソリューションです。Black Duck Hub により、自社コード内で使われているオープンソースを検出し、セキュリティ上の既知の脆弱性を識別、それに対する修正の分類、スケジューリング、追跡を行なうことができます。

大部分の企業で展開されているソフトウェアにおいては、平均して30%以上がオープンソースソフトウェア (OSS)　ですが、どのオープンソースをどこに使っているかを認識している企業は数少ないと言えます。　オープンソースの脆弱性が毎年新たに4000個以上報告されている現状において、いかなるオープンソースを組織内で使っているか、理解しておくことは極めて重要です。 一般的な企業では、何千個もの未知のオープンソースの脆弱性が気づかれないままに放置されています。Black Duck Hubでは、使用されているオープンソースを見つけて、オープンソースの既知の脆弱性と照合し、修正作業の追跡を行ないます。Black Duck Hubにおいては、業界で最も包括的な言語対応を誇る Black Duckの KnowledgeBase を利用することにより、ライセンスと脆弱性データを管理しています。

『財務レポートとリスク ソリューションを提供するリーディングカンパニーであるAxiomSL社は、弊社のソフトウェアにおいて、セキュリティ脆弱性の可能性があるものは、確実に除去していることをお約束します。我々は世界的に実績のあるセキュリティ ソフトウェア ソリューション群を使用し続ける一方で、最先端の新しいテクノロジーも常に積極的に取り入れています。このため、我々は既存の先進的なセキュリティ ソフトウェア群に加えて、オープンソース セキュリティ ソリューションをリードするBlack Duckを選びました。　これにより将来の潜在的な脆弱性までを監視して、オープンソースの既知のセキュリティリスクをさらに抑えることが可能となっています。』とAxiomSL 社の上級副社長Igor Lekht 氏は述べています。

Black Duck Hub は、ビルドのプロセスの一部として実行され、オープンソースがコードストリームに入っていくとそれを自動的に検出し、既知の脆弱性を持つオープンソース ライブラリに対してフラグを立てます。脆弱性の詳細に基づいて、アプリケーションとポートフォリオのリスク評価、およびオープンソースのライセンスとコミュニティ活動のリスク評価を行ないます。修正のスケジューリング機能と追跡機能により、セキュリティ担当者は、重要な脆弱性に対して修正が行われていることを確認できます。

『ほとんどの企業では、コードベースに新たにオープンソースが入ってきたときに、それを自動的に識別する仕組みを持っていません。　その上、それらの脆弱性が持つ実際のリスクと影響を判断することもできません。　これが分かっていないと、脆弱性修正作業の分類と追跡を時間経過に従って実施していく方法もありません。しかし、Black Duck Hubを使えば、セキュリティ担当者と開発担当者はアプリケーション・ポートフォリオ全体にわたって、オープンソース関連のリスクの識別と低減を行なうことが可能となります。この製品はオープンソースを自動的に検出・識別して、セキュリティ上の既知の脆弱性との照合を行なうので、対象組織がリスクを評価して、問題点に優先順位をつけ、修正を追跡することが可能となります。我々は広範囲の言語への対応と開発ツールの組み入れを行なっているので、ソフトウェア開発ライフサイクルの全体に対して、オープンソースの管理を埋め込むことが可能となるのです。』とBlack Duck Software の上席副社長兼CTOのBill Ledinghamは述べています。　

Black Duck Hubは、オープンソース ソフトウェアの使用状況について短期間で把握する必要があり、特にopen source securityのリスクを低減するソリューションを探しているセキュリティ担当者、開発担当者や管理者を支援するためのセキュリティ ソリューションです。　

さらに詳しい情報は、https://www.blackducksoftware.com/products/black-duck-hub　をご覧ください。

また、弊社は本日、 Risk Based Security社 との提携についても発表いたしました。

ブラック・ダック・ソフトウェアについて：

ボストンに本社を置く弊社は、オープンソースのコード使用をセキュアに管理しつつ、オープンソースの採用を最適化でき、お客様が自社コード内で使われているオープンソースを検出、セキュリティ上の既知の脆弱性を識別、それに対する修正の分類、スケジューリング、追跡を可能にする、唯一のOSS Logisticsソリューションプロバイダーです。また、開発者がBlack Duck Open Hub を通して包括的なオープンソースソフトウェア(OSS)のリソースにアクセスすることができ、Open Source Deliversブログを通して業界の専門家の最新のコメントを得ることができます。弊社のオフィスは、サンマテオ、ロンドン、パリ、フランクフルト、香港、東京、ソウル、北京にあります。さらに詳しい情報は、www.blackducksoftware.com　をご覧になり、@black_duck_swをフォローしてください。