open source security

オープンソースセキュリティ

独自のコードがセキュリティ上の脆弱性に影響されないようにするには、かなりの時間を使用しますが、オープンソースのセキュリティに対してはどうですか?
WhiteSourceは業界で初めての自動オープンソースセキュリティソリューションとして、オープンソースのセキュリティ脆弱性が知られている最も包括的なデータベースを備えており、ソフトウェア内の脆弱なオープンソースコンポーネントを検出して警告します。

 

オープンソースコンポーネントの正確な検出

正確さは、両刃の剣として扱うべきでもあります。すべてを検出するソリューションが必要ですが、感度の向上による誤検出のために、開発者の時間を無駄にする余裕はありません。
WhiteSourceは影響を受けるコンポーネントに対してのみ脆弱性を照合する独自のアルゴリズムを開発しました。このマッチングは競合他社のほとんどと異なり自動的に行われます。したがってWhiteSourceは誤検出ゼロですので、あなたは本当に必要な問題点にのみ集中することができます。

 

包括的な脆弱性データベース

NVD(National Vulnerability Database)はオープンソースのセキュリティ脆弱性のための、最も確立されたソースです。しかしオープンソースコミュニティーは善意で成り立っており、1つのソースだけに依存することはできません。
オープンソースの脆弱性は、NVDの前またはNVDの代わりに、オープンソースのバグトラッカーやセキュリティ勧告で報告されることがあります。セキュリティ上の脆弱性について警告を受けるためには、これらのソースも追跡するソリューションが必要であるということを意味します。
NVDデータベースに加えてWhiteSourceは報告されたすべてのセキュリティ問題がリリースされたらすぐに検出するために、セキュリティ勧告(例えば、「RubyOnRails Security」、「RetireJS」など)、GitHubイシュートラッカー、オープンソースプロジェクトのバグトラッカーを継続的に追跡します。

open source security advisories
 

プログラミング言語のカバー範囲

WhiteSourceはバイナリとソースコードの20種類以上のプログラミング言語をカバーしています。WhiteSourceはDockerコンテナもサポートしており、コンテナ自体とそれに配備されたソフトウェアの脆弱性を検出することができます。
当社のセキュリティデータベースには、176,000を超えるセキュリティ上の脆弱性情報が含まれています。
 

 

実践可能な修正方法の提案

WhiteSourceは既知のオープンソースのセキュリティ脆弱性が発見されたときに警告するだけでなく、修正方法の提案も提供します。
パッチ、特定のソースファイル、問題を修正する新しいバージョンへのリンクを提供し、脆弱なメソッドをブロックするコードの変更を推奨し、エクスポイテーションをブロックするシステム構成の変更を提案します。

あなたのオープンソースコンポーネントを安全に保護する方法を学ぶための無料ガイドをダウンロードしてください

 

脆弱性の検出タイミング

早期に脆弱性を検出できれば、修正するのが簡単で、修正費用も安価になります。
したがってソフトウェアに追加されるとすぐに脆弱性を検出できるソリューションや、すでに使用しているコンポーネントで脆弱性が発見されたらすぐに検出できることが必要です。 WhiteSourceは脆弱なコンポーネントを追加するたびに、CIサーバー、ツール、さらにはGitHubリポジトリまたは「JFrog Artifactory」と統合してリアルタイムで警告します。また開発者がビルドを実行する前に脆弱性のないコンポーネントを選択するためのブラウザプラグインも提供しています。 WhiteSourceは製品リリース後も製品を監視し続け、古い製品バージョンで脆弱性が発見された場合に警告します。
さらにWhiteSourceは複数のオープンソース脆弱性データベースを絶えず監視し、リリースされたばかりのセキュリティ脆弱性を検出します。
 

オープンソースセキュリティポリシー

あなたのオープンソースコンポーネントを安全に保つことに関してはWhiteSourceがカバーしています。

WhiteSourceはアプリケーションライフサイクルの全段階を通じて、ソフトウェア内のすべてのオープンソースコンポーネントのセキュリティを保証します。私たちのソリューションは注意を必要とする問題をリアルタイムで警告し、事前定義されたセキュリティポリシーを自動的に実行し、ビルドを中断することさえ可能にしています。ワンクリックで完全な包括的なレポートを作成して、オープンソースの使用方法を管理するのに役立てることもできます。
WhiteSourceはオープンソースコンポーネントを安全に保つための完全なソリューションです。

MicrosoftはWhiteSourceを推奨します

「私たちはMicrosoftのユーザーにオープンソースマネジメントのための業界最高のソリューションにアクセスできるようにしたいと考えています。そのためWhiteSourceは「Rugged DevOps」の分野でのリーダーであり、このパートナーシップによって私たちのお客様が時間とコストの節約につながることを喜ばしく思っています。」

 

WhiteSourceは何が特別なのかを理解するため、製品比較をご覧下さい