オープンソース脆弱性を自動的に検出する新製品、ブラックダック

Black Duck Software(以下、Black Duck)は、コンテナのオープンソース脆弱性を自動的に検出する新製品「OpsSight」を発表した。ソフトウェア開発ライフサイクルの本番稼働フェーズに特化した製品。

OpsSightは、コンテナイメージのインスタンスまたは更新の際に、そこに含まれる全てのオープンソースをスキャンし、インベントリを自動化する。また、既知のセキュリティ脆弱性を含むあらゆるイメージを識別してハイライトで表示する。

さらに、オープンソースセキュリティポリシーを侵害するコンテナにフラグを立ててプロダクションへのデプロイを防止したり、新たに見つかった脆弱性がレジストリ内のコンテナに影響を与える可能性がある場合は自動的にアラートしたりする機能を備える。

OpsSightは今後、様々なコンテナオーケストレーションプラットフォーム向けに最適化される予定。今回のバージョンでは、Red Hatの「OpenShift」に最適化されている。OpenShiftは、業界標準であるDockerやKubernetesをベースにしたエンタープライズ向けコンテナプラットフォームだ。

同社の代表取締役社長 兼 CEOのLou Shipley氏は「コンテナの数が増えるにつれて、本番環境におけるコンテンツの有効化やコンテナイメージの安全性確保も複雑になってきている。OpsSightでは、コンテナイメージへの完全な可視性とコントロールを提供することで、運用チームがデプロイ時に既知のオープンソースセキュリティ脆弱性が含まれていないことを確認できるようにする」とコメントしている。

また、同社は2017年11月2日にSynopsysに買収されることを発表しており、両社は同年12月に正式契約が成立する予定。