セキュリティリスクを正しく管理できていますか?
脆弱性情報をCVE単位で表示・脆弱性の原因となるコードを検出
オープンソースに含まれている脆弱性はテストツールで検出できません。どこに脆弱性があるかをきちんと把握する必要があります。セキュリティリスクを放置すれば甚大な被害に発展につながりかねません。
FossIDは、NIST(アメリカ国立標準技術研究所)で公開されるCVE(Common Vulnerabilities and Exposures:共通脆弱性識別子)情報に基づく、OSSの脆弱性情報を表示し、OSSのセキュリティ対策が行えます。
また、セキュリティ脆弱性の原因となるコードスニペットを検出するオプション「VulnSnippet Finder」があります。
※NIST:National Institute of Standards and Technology。通称NIST、アメリカ国立標準技術研究所です。
※CVE:Common Vulnerabilities and Exposures。脆弱性を識別するための共通脆弱性識別子。(個別製品中の脆弱性を対象として、米国政府の支援を受けた非営利団体のMITRE社(※)が採番している識別子です。)http://cve.mitre.org/
※MITRE社:米国政府向けの技術支援や研究開発を行う非営利組織です。http://www.mitre.org/
FossIDはコンポーネントのバージョンを特定し、CVE(Common Vulnerabilities and Exposures)に基づく脆弱性情報を提供します。NVD(National Vulnerability Database:脆弱性情報データベース)の各ページへリンクし、脆弱性の対策方法を確認できます。
VulnSnippet Finderは、コード行(スニペット)単位でFossIDナレッジベースと照合し、オープンソースコンポーネントや自社開発のソースコードに挿入されたオープンソースの一致個所を検索してセキュリティ脆弱性の原因になりうるコード行( スニペット)を検出します。
コンポーネントに含まれる脆弱性情報をCVE単位で表示
FossIDはコンポーネントのバージョンを特定し、CVE(Common Vulnerabilities and Exposures)に基づく脆弱性情報を提供します。
NVD(National Vulnerability Database:脆弱性情報データベース)の各ページへリンクし、脆弱性の対策方法を確認できます。
※NVD:National Vulnerability Database。NIST(アメリカ国立標準技術研究所)が管理している脆弱性情報データベースです。
セキュリティ脆弱性の原因となるコードスニペットを検出
VulnSnippet Finder
VulnSnippet Finderは、コード行(スニペット)単位でFossIDナレッジベースと照合し、オープンソースコンポーネントや自社開発のソースコードに挿入されたオープンソースの一致個所を検索してセキュリティ脆弱性の原因になりうるコード行(スニペット)を検出します。ソフトウェアの中にあるOSSのセキュリティ脆弱性を引き起こすコードスニペットを検出できるため、より正確に、迅速にOSSのセキュリティ脆弱性情報を確認できます。
VulnSnippet Finderの特長
- セキュリティ脆弱性の原因になる実際のコード行(スニペット)を検出
- 一致するオープンソースとして誤ったコンポーネントまたはバージョンを選択するなどのよくある人的エラーを排除
- 自社コードに挿入されたオープンソースも検出
- 誤検出を削減
- 派生物およびフォークの既知のセキュリティ脆弱性を検出
※VulnSnippet Finderは、有償オプションです。
VulnSnippet Finderのライセンス
詳しくは、テクマトリックス(株)までお問い合わせください
OSSを利用することにより、開発のスピードアップやコスト削減、柔軟性など、さまざまなメリットが得られます。
OSSを利用しソフトウェアの価値を高めていくために、セキュリティリスクの手作業管理は限界です。
FossIDツールを上手に活用しましょう!
