Checkmarx Ltd.

OSSリスク管理ツール Checkmarx CxOSA

「Checkmarx CxOSA」は、ソフトウェア開発において現在広く利用されているオープンソースソフトウェア(OSS)のリスクを可視化し、適切に管理するためのツールです。

ソフトウェアに含まれるオープンソースコンポーネントの抱えるセキュリティ上のリスクを、常に最新かつ膨大な脆弱性情報をもとに浮き彫りにします。また、使用しているオープンソースコンポーネントが古いバージョンになっていないか、ライセンス違反のリスクを抱えていないかのチェックも行います。

特長

"DevOps"の実現には不可欠なオープンソースソフトウェア
安全に使えていますか?

"DevOps"から"DevSecOps"へ

開発チーム(Development)と運用チーム(Operations)が緊密に協力・連携することにより、迅速・頻繁・確実なリリースを目指す"DevOps"という仕組みの導入が多くの企業において進んでいます。

しかし、大抵の場合、既存の開発ワークフローにはセキュリティを徹底するための仕組みも組み込まれています。セキュリティ関連の深刻な脅威や事件が毎日のように世間を騒がせている現在、 セキュリティを無視することはできない一方で、このセキュリティ担保のため仕組みが"DevOps"のような迅速な開発ワークフローを回そうとしたときに、阻害要素となってしまうこともあります。

これは、従来の開発プロセスでは、"DevOps"とセキュリティテスト・監査が分離していることが要因です。アプリケーションやシステムの開発が終わってから、セキュリティチームによるテストが行われ、 仮に脆弱性が見つかり修正が発生した場合、手戻りによるコスト増やスケジュールの遅延につながってしまいます。

このような問題の解決策として、"DevOps"の開発ワークフローでセキュリティ(Security)を分離することなく、最初から組み込んだ"DevSecOps"という取り組みが注目されています。

この"DevSecOps"を実現する上で重要なポイントとなるのが、セキュリティテストの自動化です。

セキュリティテストの自動化 for OSS

ソフトウェア開発の生産性をアップして、"DevOps"を実現するためには、ほとんどの場合でOSSの利用が必要となります。事実、市場に出回っているソフトウェアコードの 80%近くにOSSが使用されていると言われています。

「Checkmarx CxOSA」は、Checkmarx社が独自にデータベース化した世界中のOSS情報をもとにOSSライブラリを解析し、OSSに関連する以下の3つリスク(セキュリティ上のリスク、ライセンス上のリスク、運用上のリスク)を自動で分析・可視化します

セキュリティ上のリスク

世界中のOSS情報を集約したデータベースをもとにして解析を行い、利用されているOSSに既知の脆弱性がないかをチェックします。

解析結果の表示例

  • データベースとの正確なマッチングにより、誤検出を最小限に抑えます。
  • 検出された脆弱性については、共通脆弱性評価システム(CVSS:Common Vulnerability Scoring System)に基づいて、その重大度が算出されるため、優先順位をつけて対処することができます。
  • Checkmarx社の脆弱性静的解析ツール(Checkmarx CxSAST)と連携して使用することで、OSSの脆弱性チェックと同時に、独自に開発したソースコードの脆弱性チェックも行うことができます。

ライセンス上のリスク

各OSSの利用ポリシーをチェックし、ライセンス違反のリスクをレベル別(リスク高/中/低)に分類します。

解析結果の表示例

  • OSSの利用について、会社やプロジェクトの運用ルールに沿ったポリシーを事前に設定しておくことで、開発現場でも容易にそのポリシーに遵守した利用ができているかを判断することができます。

運用上のリスク

報告されている脆弱性やバグが修正されていない古いバージョンのOSSが利用されていないかをチェックします。

解析結果の表示例

  • 古いバージョンのOSSの利用を検出した場合、修正候補(脆弱性やバグが修正済みの新しいバージョン)を提示します。

Checkmarx CxOSAの仕組み

誤検知を最小限に
CxOSAの解析エンジンは、最初にプロジェクトのパッケージマネージャ情報を調査します。そして、そのプロジェクトで実際に使用されているOSSライブラリのみを解析対象として絞り込んでから、そのライブラリの識別子をOSSのデータベースと照合します。そのため、不要なライブラリに対する解析を減らし、誤検出を減らすことができます。

解析できるプログラミング言語/フレームワーク

プログラミング言語

  • Java
  • TypeScript
  • Java Script
  • .NET

フレームワーク

  • React
  • Angular
  • Windows Communication Foundation
  • Windows Presentation Foundation
  • Java Spring

CxOSAのライセンスについて

  • CxOSAを使用するためには、CxSASTのライセンスが必要となります。
  • すでにお使いのOSSや使用を検討中のOSSの安全性を、CxOSAを使って調べてみませんか?

    CxSASTとCxOSAの両方をお試しいただける評価ライセンスをご用意しております。評価をご希望の方は、お気軽にss_sales@toyo.co.jpまでお問合せください。

テクニカルサポート

技術的なお問い合わせ

Checkmarx社の製品に関する技術的なご質問に対しては、弊社のサポートデスクがお答えいたします。
お問い合わせ先:ss_support@toyo.co.jp

緊急の場合には、電話によるお問い合わせに対してもお答えいたします。
お取扱い時間は、 9:30~17:30(⼟⽇、祝⽇を除く)です。

ご注意:
サポートデスク宛に技術的なご質問をお出しになる場合、お客様と弊社の間には 保守契約が締結されている必要があります。

お問い合わせに際してのお願い

  1. お問い合わせのE-mailに、次の情報を付加してください。それによって、より早い回答をお届けすることができます。
    ・ ご使用になっているOSの種類とバージョン
    ・ ご使用になっている製品のバージョン
  2. エラーメッセージが出ている場合は、そのエラーメッセージを正確にお送りください。また、問題が発生した画面をキャプチャした画像ファイルをお送りください。
  3. 可能な限り、その問題が発⽣した経緯、再現の⼿順をお知らせください