WhiteSourceは、「Mend SCA」に名称変更となりました。
クラウドサービスや組込ソフトウェアなどのアプリケーション開発には、オープンソースコンポーネントの利用は不可欠です。
オープンソースにはソースコードが公開されることで不具合やバグが早期に改善されるメリットがありますが、
その反面、早期に脆弱性やバグが発見され、そのたびに対処をしなければなりません。
Mend SCAは、オープンソースコンポーネントのソースコード解析やリポジトリ照合、
独自の脆弱性データベースなどを活用した誤検出ゼロを実現するSCA(ソフトウェア構成分析)ツールです。
早期に脆弱性を発見し、ALMツールと連携することで、
ソフトウェア開発ライフサイクルにおける「継続的なセキュリティ」を確立したDevSecOpsを実現します。
Mend SCA は、誤検出ゼロという正確性が自慢です。誤検出が多い場合は、ソフトウェア開発のスピードは遅くなり、開発者は誤検出されたことを証明するために無駄な時間を費やします。
さらに、早期に検出できればチーム・組織におけるリスクが解消されるだけでなく、ソフトウェア開発においても工数や費用を少なくすることができます。
Mend SCA は4つの警告通知(アラート)を知らせします。
ビルド前に、Mend SCA による脆弱性スキャンを実行して、信頼できるソフトウェアをリリースしましょう。
Mend SCA はバイナリとソースコードの200種類以上のプログラム言語をカバーします。
Mend SCA はDockerコンテナもサポートしており、コンテナ自体とそれに配備されたソフトウェアの脆弱性を検出します。
Mend formerly WhiteSource社 のセキュリティデータベースには、176,000を超えるセキュリティ上の脆弱性情報が含まれています。
Mend SCA は既知のオープンソースのセキュリティ脆弱性が発見されたときに警告するだけでなく、修正方法の提案も提供します。
オープンソースコミュニティから提供される最新モジュールや解決方法、
パッチから新しいバージョンへのリンク、特定の機能をブロックするなどの暫定対応方法など、
既知の解決方法をユーザーにリスト表示します。
ユーザーは脆弱性に対して表示された解決方法を確認し、暫定対応と恒久対応の方法を知り、選択することができます。
エンタープライズ向けアジャイル開発ツール「Jira Software」、Gitリポジトリ「Bitbucket」、
継続的インテグレーション「Bamboo」と連携することで、DevOpsからDevSecOpsへ対応することができます。
Mend SCA は、以下のようなツールと連携します。
リポジトリ | 継続的インテグレーション |
---|---|
|
|
テストツール | アプリケーションライフサイクル管理(ALM) |
---|---|
|
|
ビルドツール | |
---|---|
|
|
Mend SCA は、コンテナ化されたイメージや実行環境への脆弱性チェックも可能です。コンテナに対してオープンソースパッケージを含む、すべての領域をスキャンし、新しい脆弱性に関する予防的な警告を行います。
Mend SCA は、SAML認証のシングルサインオン(SSO)に対応します。
Mend SCA は、クラウド(SaaS)利用だけでなく、サーバー(オンプレミス)利用も可能です。
お客様のシステム環境に応じて柔軟に対応できます。