VulnSnippet Finder ~セキュリティ脆弱性の原因となるコードスニペットを検出~ (有償オプション)

VulnSnippet Finderは、コード行(スニペット)単位でFossIDナレッジベースと照合し、オープンソースコンポーネントや自社開発のソースコードに挿入されたオープンソースの一致個所を検索してセキュリティ脆弱性の原因になりうるコード行(スニペット)を検出します。 ソフトウェアの中にあるOSSのセキュリティ脆弱性を引き起こすコードスニペットを検出できるため、より正確に、迅速にOSSのセキュリティ脆弱性情報を確認できます。

※VulnSnippet Finderのスキャン結果をFossIDのGUI上で参照するには、VulnSnippet FinderとFossIDのライセンスが必要です。

オープンソースをコード行(スニペット)単位でFossIDナレッジベースと照合

オープンソースをコンポーネント単位で公開リポジトリと照会する従来のセキュリティスキャナーと異なり、VulnSnippet Finderでは、オープンソースをコード行(スニペット)単位でFossIDナレッジベースと照合し、オープンソースコンポーネントやソースコード内の一致個所を検索してセキュリティ脆弱性の原因になりうるコード行(スニペット)を検出します。そのため、従来のセキュリティスキャナーに比べて、より正確に、迅速にOSSのセキュリティ脆弱性情報を確認することができます。
 

従来のセキュリティスキャナーとの違い

従来のセキュリティスキャナー

  • コンポーネント/バージョンに基づいてセキュリティ脆弱性を想定
  • 識別されたコンポーネントのバージョンが正しいことが前提。この前提が常に正しいわけではないため、誤ったセキュリティ脆弱性セットが報告される可能性がある
  • コンポーネント全体が使用されていると仮定。実際には、オープンソースコンポーネントの一部(ファイルまたはスニペット)のみが使用される場合もある
  • 既知の脆弱なコンポーネントに一致するすべてのファイルを警告(誤検出)
従来のセキュリティスキャナー

VulnSnippet Finder

  • セキュリティ脆弱性の原因になる実際のコード行(スニペット)を検出
  • 一致するオープンソースとして誤ったコンポーネントまたはバージョンを選択するなどのよくある人的エラーを排除
  • 自社コードに挿入されたオープンソースも検出
  • 誤検出を削減
  • 派生物およびフォークの既知のセキュリティ脆弱性を検出


Vuln Snippet Finder

豊富なセキュリティ脆弱性データを含むFossIDナレッジベースと照合

National Vulnerability Database(NVD)に加えて、Bugzillaなどのレポジトリもセキュリティ脆弱性情報のデータベースとして採用しています。

継続的インテグレーションに最適

FossIDスキャンエンジンおよびオープンソースナレッジベースへのアドオンであり、FossIDのコマンドラインインターフェースから利用できます。コマンドひとつで脆弱なスニペットと照合し、該当コードをセキュリティ脆弱性の情報とともにJSON形式でレポートします。

ナイトリービルド時のスキャン

特定のブランチとFossIDのナレッジベースに登録されたセキュリティ脆弱性のあるコードを比較し、セキュリティ脆弱性のあるコードが入り込んでいないかを夜間に検証

ナイトリービルド時のスキャン

コミットアップロード時のスキャン

コミットされたコードとFossIDのナレッジベースにある登録されたセキュリティ脆弱性のあるコードを比較し、セキュリティ脆弱性のあるコードが入り込んでいないかをマージする前に検証

コミットアップロード時のスキャン

VulnSnippet Finderのライセンス

  • VulnSnippet FinderFossID上で実行したり、スキャン結果をFossID上で参照するには、VulnSnippet FinderFossIDのライセンスが必要です。FossIDVulnSnippet Finderのセットでのご導入をご検討ください。
  • 使用中のFossIDVulnSnippet Finderを追加することも可能です。その場合はVulnSnippet Finderのみの費用でご導入いただけます。
  • コマンドラインインターフェースのみでVulnSnippet Finderを利用される場合は、VulnSnippet Finderのみの費用でご導入いただけます。
  • 詳しくは、テクマトリックス(株)までお問い合わせください。


FossID - OSSライセンス&セキュリティ管理ツールに
関するお問い合わせ

  • テクマトリックス株式会社
    東京本社

    ソフトウェアエンジニアリング事業部

    03-4405-7853

メールでのお問い合わせ
fossid-info@techmatrix.co.jp

CONTACT

製品についてやテクマトリックスについてなど、
こちらよりお気軽にお問い合わせいただけます。