Insignary Clarityとは？

バイナリファイルからSBOMを生成、オープンソースの脆弱性／ライセンス管理を実現するツール

Insignary Clarity(インサイナリー クラリティ：以下略：Clarity)は、特許取得済みのディープフィンガープリンティングおよびマッチングアルゴリズムを使用して、バイナリからオープンソースソフトウェア(OSS)コンポーネントを抽出し、その脆弱性およびライセンスを特定するバイナリ解析OSS管理ツールです。

バイナリを対象にOSSの混入チェックを行うことができるため、ソースコードが入手できない対象についても、脆弱性／ライセンスコンプライアンス問題の有無を確認することができます。

Clarityのもっとも優れた点は、特許取得済み(米国・韓国)の「ディープフィンガープリンティング(Deep Fingerprinting)」テクノロジーです。バイナリに残るソースコード情報の断片を基にOSSを探索するため、「バイナリコンポーネント用のリポジトリがない」、「ハッシュベースのマッチングが難しい」といったケースにも対応できます。また、本テクノロジーはスニペットマッチにも対応し、バイナリスキャンでありながらOSSの部分利用も検出することができます。

Clarityの仕組み

特許取得済み技術「ディープフィンガープリンティング」

Clarityは、ターゲットバイナリをスキャンして「フィンガープリント」を抽出し、多数のOSSコードリポジトリから収集されたフィンガープリントと比較するという独自の特許取得済み技術ディープフィンガープリンティングを用いています。

1. OSSコンポーネントのフィンガープリントのデータベースを構築
2. ターゲットバイナリから文字列、関数、変数名などを基にフィンガープリントを抽出
3. ターゲットバイナリから抽出したフィンガープリントを、OSSのフィンガープリントデータベースと照合し、OSSの脆弱性とライセンスを適切に管理するためのSBOMを生成
4. 利用されているOSSに含まれる脆弱性とライセンスをレポート

Clarityの特長

• リバースエンジニアリングを行わずに、バイナリからOSSを検出
• 単一のバイナリ内の複数のOSSコンポーネントとバージョンを検出
• LITIGATORトロールに関連するOSSコンポーネントをハイライト
• 包括的なSBOM(ソフトウェア部品表)を提供
• クラウドベースまたはオンプレミスの導入をサポート
• 独自のExcel形式のレポートに加え、SPDX、CycloneDX形式に対応
• RESTful APIをサポート

Clarityのデモ動画