Software Composition Analysis (SCA) オープンソースの脆弱性診断
近年では多くのアプリケーションにオープンソースが活用されていますが、そのオープンソースライブラリ対する脆弱性の攻撃の被害も数多く報告されています。Veracode SCAは、オープンソースライブラリに潜む既知の脆弱性を識別することによって、オープンソースのリスクからアプリケーションを保護します。
オープンソースに潜むリスクを可視化
Veracode SCAは開発スピードを念頭に置いて設計されています。開発者はできるだけ早期に重要な情報へのアクセスを実現できます。- 使用されているライブラリの名前とバージョン
- 使用されているライブラリに潜む脆弱性
- コード内で使用しているオープンソースライセンスの一覧
- 発見された脆弱性とプロジェクトとの関連性
- SBOMの生成
ソフトウェアに含まれる既知の脆弱性の一覧表示
スキャン実行後、そのソフトウェアに含まれる既知の脆弱性の一覧を出力します。脆弱性のあるライブラリ名、バージョン情報、ライブラリ毎の脆弱性の数をまとめて確認することができます。
検出された脆弱性の詳細表示
脆弱性情報のタブでは、CVE番号ごとにその脆弱性が利用しているどのライブラリに由来するものかを一覧で表示します。各脆弱性欄にはCVE番号のリンクが表示され、National Vulnerability Databasesサイト上で、詳細な脆弱性情報を確認できます。
対象ライブラリの各バージョンの情報表示
各ライブラリのバージョンごとの脆弱性や、最新版の状況を表示します。
OtherVersions欄で、各バージョンの脆弱性の個数を確認できるため、どのバージョンまでアップデートすれば安全か確認することが可能です。
OtherVersions欄で、各バージョンの脆弱性の個数を確認できるため、どのバージョンまでアップデートすれば安全か確認することが可能です。
SBOM(ソフトウェア部品表)の生成およびエクスポート
Veracode SCAでは、スキャンによって検出されたオープンソースコンポーネントの構成情報をもとに、SBOM(Software Bill of Materials:ソフトウェア部品表)を生成し、エクスポートすることができます。ソフトウェア構成情報の出力
SCAのスキャン結果をもとに、アプリケーションに含まれるオープンソースコンポーネントの構成情報をSBOM(ソフトウェア部品表)として出力します。
SBOMには各コンポーネントの名前やバージョン、ライセンス情報、依存関係が含まれるため、ソフトウェアの構成を一覧で把握し、サプライチェーンリスクの管理やコンプライアンス対応に活用することが可能です。
SBOMには各コンポーネントの名前やバージョン、ライセンス情報、依存関係が含まれるため、ソフトウェアの構成を一覧で把握し、サプライチェーンリスクの管理やコンプライアンス対応に活用することが可能です。
対応フォーマット: CycloneDX / SPDX(JSON、XML形式で出力)
※その他の対応フォーマットについてはVeracode公式ドキュメントをご参照ください。
※その他の対応フォーマットについてはVeracode公式ドキュメントをご参照ください。
イベント・セミナー
資料ダウンロード
Veracodeに
関するお問い合わせ
テクマトリックス株式会社
東京本社ネットワークセキュリティ事業部
第3営業部
セキュリティプロダクツ営業2課03-4405-7814
- メールでのお問い合わせ
- veracode@techmatrix.co.jp