SourceClear SCA オープンソースの脆弱性診断

近年では多くのアプリケーションにオープンソースが活用されていますが、そのオープンソースライブラリ対する脆弱性の攻撃の被害も数多く報告されています。SourceClear SCAは、オープンソースライブラリに潜む既知の脆弱性を識別することによって、オープンソースのリスクからアプリケーションを保護します。Veracodeは2018年に買収したSourceClearの技術を活用し、オープンソースのリスクに対しても迅速に対応します。

オープンソースに潜むリスクを可視化

SourceClear SCAは開発スピードを念頭に置いて設計されています。開発者はできるだけ早期に重要な情報へのアクセスを実現できます。


  • 使用されているライブラリの名前とバージョン
  • 使用されているライブラリに潜む脆弱性 ード内で使用しているオープンソースライセンスの一覧
  • ワークスペース/プロジェクト
  • 発見された脆弱性とプロジェクトとの関連性

ソフトウェアに含まれる既知の脆弱性の一覧表示

スキャン実行後、そのソフトウェアに含まれる既知の脆弱性の一覧を出力します。CVSS v2, v3表示、該当するCVE番号、ライブラリ名をまとめて確認することができます。
また、個別の問題をJIRAやGithubにIssueとして連携することができます。


ソフトウェアに含まれる既知の脆弱性の一覧表示

検出された脆弱性の詳細表示

脆弱性IDごとの詳細では、その脆弱性がどのライブラリのどのバージョンに由来するものかを表示し、該当するライブラリのファイルの場所も示します。
依存関係もグラフィカルに表示するため、そのライブラリの影響がどこに及ぶかを視覚的に把握できます。


対象ライブラリの各バージョンの情報表示

各ライブラリのバージョンごとの脆弱性や、最新版の状況を表示します。
Release History欄で、各バージョンの脆弱性の個数を確認できるため、どのバージョンまでアップデートすれば安全か確認することが可能です。


対象ライブラリの各バージョンの情報表示

サポート言語

Languages Package Managers
Java Maven, Gradle, Ant, or imported Jars
Javascript NPM, Yarn, Bower
.NET Nuget
Python PIP
PHP Composer
GO Trash, Glide, GoVendor, GoDep, GoDep, Dep
Ruby Gems
Objective-C Cocoapods
Scala SBT

※最新の対応状況はVeracode社のサイトよりご確認ください。

Veracodeに
関するお問い合わせ

  • テクマトリックス株式会社
    東京本社

    ネットワークセキュリティ事業部
    セキュリティ営業部
    セキュリティプロダクツ営業2課

    03-4405-7869

メールでのお問い合わせ
veracode@techmatrix.co.jp

CONTACT

製品についてやテクマトリックスについてなど、
こちらよりお気軽にお問い合わせいただけます。