バイナリ解析OSS管理ツール Insignary Clarity

バイナリファイルからSBOMを生成、オープンソースの脆弱性／ライセンス管理を実現

Insignary Clarity(インサイナリー クラリティ：以下略：Clarity)は、特許取得済みのディープフィンガープリンティングおよびマッチングアルゴリズムを使用して、バイナリからオープンソースソフトウェア(OSS)コンポーネントを抽出し、その脆弱性およびライセンスを特定するバイナリ解析OSS管理ツールです。

バイナリを対象にOSSの混入チェックを行うことができるため、ソースコードが入手できない対象についても、脆弱性・ライセンスコンプライアンス問題の有無を確認することができます。
また、独自のExcel形式のレポートに加え、SPDX、CycloneDX形式に対応したSBOMを生成します。

Clarityの仕組み

特許取得済み技術「ディープフィンガープリンティング」

Clarityは、ターゲットバイナリをスキャンして「フィンガープリント」を抽出し、多数のOSSコードリポジトリから収集されたフィンガープリントと比較するという独自の特許取得済み技術ディープフィンガープリンティングを用いています。

1. OSSコンポーネントのフィンガープリントのデータベースを構築
2. ターゲットバイナリから文字列、関数、変数名などを基にフィンガープリントを抽出
3. ターゲットバイナリから抽出したフィンガープリントを、OSSのフィンガープリントデータベースと照合し、OSSの脆弱性とライセンスを適切に管理するためのSBOMを生成
4. 利用されているOSSに含まれる脆弱性とライセンスをレポート

Clarityの機能

Clarityの特長

• リバースエンジニアリングを行わずに、バイナリからOSSを検出
• 単一のバイナリ内の複数のOSSコンポーネントとバージョンを検出
• LITIGATORトロールに関連するOSSコンポーネントをハイライト
• 包括的なSBOM(ソフトウェア部品表)を提供
• クラウドベースまたはオンプレミスの導入をサポート
• 独自のExcel形式のレポートに加え、SPDX、CycloneDX形式に対応
• RESTful APIをサポート

Clarityの紹介動画