OSSのセキュリティリスク

OSSの重要性は益々高まっています。昨今では、ソフトウェアとOSSを組み合わせてシステムを開発することが主流となっています。オープンソースのソースコードを改変したり、複数のOSSを組み合わせて連携させるなど様々なカスタマイズも頻繁に行われます。最新の調査によると、ソフトウェア・コードベースの99％で1つ以上のOSSコンポーネントが使われ、ソフトウェア・コードベース全体における比率として、70％がオープンソースで構築されています。

誰でも自由に使えるメリットがあるものの、OSSによって多くのシステムが危険にさらされているのも事実です。ソフトウェア・コードベースの80%以上が少なくとも1つの脆弱性を含んでいるという分析結果も出ています。万が一OSSに脆弱性が発見された場合は、開発者自らパッチを適用したり、バージョンアップを行わなければなりません。しかし、ソースコードの一部改変した場合は、発見された脆弱性が自分が使ったソースコードに含まれているのかを判断することが極めて難しいです。他のソフトウェアとソースコードが依存関係にあり、バージョンアップなどが難しい場合もあります。

OSSの脆弱性の対処として、まずソフトウェア開発に使用したOSSコンポーネントとライセンスを明確に把握することが求められます。バイデン大統領は、連邦政府機関におけるサイバーセキュリティ改善に係る大統領令に署名しました。推奨事項の中には、連邦政府が使用するソフトウェア・アプリケーションの安全性と整合性を確保するためのSBOM（ソフトウェア部品表）が要件に挙げられています。SBOMには、ソフトウェア構築で使用される全てのオープンソース・コンポーネントやライセンス、バージョンなどが一覧に表示される必要があります。SBOMは日本においても普及が推進されており、今後益々重要性が高まると予想されます。

AutoCrypt Security Anaylzer

AutoCrypt Security Analyzerは、車載ソフトウェアに含まれるオープンソースの脆弱性検出、ライセンス違反などのセキュリティリスクを管理する「車載OSS脆弱性診断・自動分析ソリューション」です。

1. ソースコードの機密性確保
2. ソフトウェアのソースコードをSecurity Analyzerでスキャンし、そのソースコードをハッシュ値に変換し暗号化されたファイルとして保存します。 （すべてのプログラミング言語に対応します)
3. データ蓄積
4. NVD、MITRE、Github、Bugzillaから提供される脆弱性リスト、マシンラーニング基盤パッチ、ソースコードスキャンから検出したオープンソースコンポーネント、ユーザ定義の脆弱性を収集し、Security Analyzerビッグデータ（VDB）を構成します。
5. AI分析アルゴリズムによる高精度検出
   
6. 特許技術（VUDDY、CENTRIS）を活用し、ファイル及びコードスニペット単位での脆弱性分析を行います。また、パッケージ管理システムによる依存関係の分析結果を再び学習し、検知精度向上及び未知の脆弱性検知を実現します。
7. SBOM管理
8. Security Analyzerは対象ソフトウェアに対するSBOMを作成・提供します。SBOMには対象ソフトウェアに使用された全てのオープンソースコンポーネントとライセンスリストが表示されます。Security AnaylzerはSPDX/CycloneDX標準SBOMフォーマットのサポートします。
9. 脆弱性管理分析
10. プロセスの後、Security Analyzerは、ユーザがコーディングの欠陥を手動で修正できるように検出されたセキュリティリスクに対して推奨されるパッチのリストと、脆弱性に関する詳細なガイドを提供します。

マルチファクター分析による詳細なコンポーネント検知

AutoCrypt Security Anaylzer無料トライアル

１ヶ月利用可能な無料トライアルでは、企業様が実際に使用しているソースコードを7回まで分析できます。無料トライアルでは、ソースコード分析や結果確認などの基本機能を体験できます。より詳しい情報が必要な方は別途お問い合わせください。

AutoCrypt SA ダッシュボードイメージ

AutoCrypt SA SBOMイメージ

無料トライアルご希望の旨をご質問・ご要望欄にご記載ください。

カタログ資料

製品カタログはこちら