CxSCA

これなしにソフトウエアをリリースしてはいけません

CxSCAを使用することで、開発者はカスタムのコードとオープンソースのコードを組み合わせて、信頼できるソフトウェアを構築できます。カスタムコードばかりではなく、使用されるライブラリが安全であることを確認する必要があります。CxSCAは、そのためのソフトウェア・コンポジション解析ツールであり、最新のオープンソースのリスクを発見する専門調査チームが下支えしています。

アプリケーション開発を加速し、 .
セキュリティの脆弱性を解決します。

オープンソースの安全性をチェック

ソフトウェアのサプライ・チェーンを理解

使用しているオープンソースのコードを特定して、検索可能なソフトウェア部品表(SBOM)を構築し、将来のセキュリティ開示や手間のかからない監査に備えることができます。
アプリケーションの分散化が進む中、開発者が安全でない、あるいは意図的に侵害されたオープンソースのパッケージを使用していることを把握するのは至難の業です。 この課題を解決するため、CxSCAはコードベースを自動的にスキャンします。これによって、使用中のサードパーティのコードとそのコードがカスタム・アプリケーションのどこに存在するかを特定するSBOMを作成します。 ソフトウェアのサプライ・チェーンの状況を把握することで、オープンソースの欠陥に起因するアプリケーションの脆弱性を緩和する必要が生じた場合に備えます。同様に、コードがどこから来たのかを詳しく示す監査レポートを作成したり、サードパーティの依存関係のセキュリティを確保するために行った対策を示したりすることが可能です。
すぐに修正

侵害された依存関係を発見

コードをスキャンして、脆弱なライブラリや悪意のあるライブラリを探します。専門調査チームが提供するガイダンスを利用して、重大な問題から先に解決していくことが可能です。
アプリケーションに統合するオープンソースのライブラリ、モジュール、その他の依存関係に既知の脆弱性がある場合、あるいは意図的に侵害されている場合は、直ちに検出して修正する必要があります。 脆弱性データベースを手動で調べ、使用している依存関係とアラートを照合することで、このようなリスクを管理できます。また、このプロセスはCxSCAを使って自動化することも可能です。その場合、CxSCAはコードベースをスキャンし、オープンソースのコンポーネントを検索して、脆弱性がある場合に警告を発します。 さらに、CxSCAでは、それぞれの脆弱性について攻撃に利用可能な経路に関する情報も提供するので、本当にリスクがあるかどうかを理解できます。このようなコンテキストを使用して、脆弱性のリスク指標を正確に評価し、最も効率的に緩和するための計画を見極めることができます。たとえば、上流のオープンソース・プロジェクトから修正プログラムがまだ提供されていない場合は、攻撃者が脆弱性を悪用するために必要となるデータ入力をブロックすることで、根本的な問題が解決されるまでリスクを緩和できます。
ライセンスと登録

オープンソースのライセンスのリスクを管理

利用しているオープンソースのライセンスを把握します。ビジネスに影響を及ぼす知的財産権のリスクを理解できます。
すべてのオープンソースのコードについては、どのような形であれ自由に再利用でき、コードを使用する際に開発者が守らなければならない厳しいルールはほとんどないと、広く考えられていますが、これは誤りです。 現実は、それほど単純ではありません。オープンソースのライセンスの中には、元の開発者の帰属を要求するものがあります。派生アプリケーションをオープンソースのライセンスで公開することを求める場合もあります。さらに、ライブラリの元の開発者がコード使用の対価を要求できるようにしている場合もあります。オープンソースは、必ずしも一般的に考えられるように無料というわけではありません。ライセンス違反の申し立てにより、企業に対して訴訟が起こされることもあります。

より強く、より安全なSDLCを構築できます。その方法をご紹介します。

CxSCAについてのお客様/専門家の声

オープンソースのセキュリティ・スキャンにご興味がおありですか?

アプリケーション・セキュリティの対象範囲を広げ、ガバナンスを強化するため、今すぐとりかかりましょう。
Skip to content