Software Composition Analysis (SCA) オープンソースの脆弱性診断

近年では多くのアプリケーションにオープンソースが活用されていますが、そのオープンソースライブラリ対する脆弱性の攻撃の被害も数多く報告されています。Veracode SCAは、オープンソースライブラリに潜む既知の脆弱性を識別することによって、オープンソースのリスクからアプリケーションを保護します。

オープンソースに潜むリスクを可視化

Veracode SCAは開発スピードを念頭に置いて設計されています。開発者はできるだけ早期に重要な情報へのアクセスを実現できます。

  • 使用されているライブラリの名前とバージョン
  • 使用されているライブラリに潜む脆弱性
  • コード内で使用しているオープンソースライセンスの一覧
  • 発見された脆弱性とプロジェクトとの関連性

ソフトウェアに含まれる既知の脆弱性の一覧表示

スキャン実行後、そのソフトウェアに含まれる既知の脆弱性の一覧を出力します。脆弱性のあるライブラリ名、バージョン情報、ライブラリ毎の脆弱性の数をまとめて確認することができます。

ソフトウェアに含まれる既知の脆弱性の一覧表示

検出された脆弱性の詳細表示

脆弱性情報のタブでは、CVE番号ごとにその脆弱性が利用しているどのライブラリに由来するものかを一覧で表示します。各脆弱性欄にはCVE番号のリンクが表示され、National Vulnerability Databasesサイト上で、詳細な脆弱性情報を確認できます。

検出された脆弱性の詳細表示

対象ライブラリの各バージョンの情報表示

各ライブラリのバージョンごとの脆弱性や、最新版の状況を表示します。
OtherVersions欄で、各バージョンの脆弱性の個数を確認できるため、どのバージョンまでアップデートすれば安全か確認することが可能です。

対象ライブラリの各バージョンの情報表示

Veracodeに
関するお問い合わせ

  • テクマトリックス株式会社
    東京本社

    ネットワークセキュリティ事業部
    第3営業部
    セキュリティプロダクツ営業2課

    03-4405-7869

メールでのお問い合わせ
veracode@techmatrix.co.jp

CONTACT

製品についてやテクマトリックスについてなど、
こちらよりお気軽にお問い合わせいただけます。