Protecode Enterprise

Protecode Enterprise™
Protecode Enterprise™は、製品内のサードパーティコードをセキュアかつ安全でリスクのない方法で使用できる包括
的なソフトウェアコンポジション解析
(SCA)
ソリューションです。開発プロセスやテストプロセス、
または法務/FOSSの
コンプライアンス部門でProtecode Enterprise™を活用することにより、
オープンソース、社内開発コード、外部委託コー
ド、
および商用のコードを含むサードパーティコードの使用から生じるリスクを管理できます。
プロセスおよびポリシー
コードベースのスキャン
組織内でのサードパーティコードの利用に関するポリシーお
よびプロセスを確立する。
企業の管理職
ソフトウェアのコードベース全体のスキャンを実行する。
部品表
脆弱性の特定
特定したソフトウェアコンポーネントに既知の脆弱性
が含まれるかどうかを検出する。
レポートおよびアラート
Protecode Enterprise™の
主なメリット
パブリックパッケージとプライベートパッケージ、ファイル
とフリーコードおよびオープンソースコードのスニペットが
すべて含まれる包括的なソフトウェア部品表を作成する。
ライセンスの特定
商用ソフトウェア、フリーソフトウェアおよびオープンソー
スソフトウェア(FOSS)のライセンス、ライセンス責任、
ライセンスの互換性に関する問題をすべて分類して特定する。
確立したサードパーティコードの採用ポリシーに基づい
て即時使用可能なレポートおよびアラートを生成する。
・ CEO: 製品内のサードパーティコードの使
用に伴う不確実性を排除することによって
全体的なビジネスリスクを軽減
・ 法務:脆弱な製品の出荷を阻止することに
よって責任を軽減。
また、FOSSライセンス
のコンプライアンスおよび保護も支援
・ M&A:技術の取得および移転に関する可
視性を確立、
およびそのリスクを軽減
・ 営業:ライセンス保護の遅れを縮小
ワークフローの統合
コードのスキャン作業をソフトウェア開発のライフサイクルの
一部に組み込む。
製品管理者および開発管理者
・ ソフトウェアBOMの自動的な識別を介して
ソフトウェアプロジェクト内のサードパーティ
製品の概要
Protecode Enterprise ™を使用すると、企業のソフトウェアやシステム用の包括的なソフトウェア部
品表(BOM)の自動的な生成およびメンテナンス、サードパーティコンポーネントに影響する脆弱性
の追跡および監視、オープンソースライセンスのコンプライアンスの管理が可能になります。
Protecode Enterprise ™は、ソースコードとバイナリの両方の解析が可能なソリューションで、R&D の継
続的インテグレーション(CI)環境に簡単に統合できます。このソリューションは、法務チームとコンプライア
ンスチームのワークフローを全面的にサポートしています。また、他のステークホルダーもこのソリューション
を使用することにより、サードパーティコードの使用に伴うリスクを管理できます。
主な機能
Protecode Enterprise ™は、ソフトウェア開発ライフサイクル(SDLC)の様々なフェーズでソフトウェアサ
インオフを実現できる包括的な SCA ソリューションです。これにより、製品内のサードパーティコードをセキュ
アかつ安全でリスクのない方法で使用できます。
ソフトウェア部品表(BOM)の生成
最新のソフトウェア BOM を自動的に生成およびメンテナンスします。R&D、法務、およびメンテナンスの
各部門にわたるステークホルダーがソフトウェアパッケージの構成に関する最新の情報を得る上で、ソフトウェ
コードの透明性を即時実現
・ たいていは手動で実行される複数のタスク
を自動化することによってR&Dのコストを
削減し、市場への投入時間を短縮
・ プロジェクトで使用されるサードパーティコー
ドに影響する既知の脆弱性を追跡
・ オープンソースソフトウェア管理、
ライセン
ス責任、
およびライセンスの互換性を評価
し、
これらに関するレポートを作成
・ 承認されていないオープンソースプロジェ
クトコードのコピー/ペーストがコードベー
スに入り込むことを阻止
投資会社および法的企業
・ M&Aまたは技術移転の一環として行うソフ
トウェアポートフォリオの確認に要するコス
トの削減
・ コードポートフォリオの透明性の確立
ソフトウェアの請負業者
・ ライセンス保護コストの削減
・ 専門的な業務の伝達
・ 競争力の向上
ア BOM を R&D でメンテナンスする方法は最も費用対効果が大きい方法です。また、法務部門や他のステー
フリーオープンソースのコントリビュータ
クホルダーが、推奨されるワークフローを使用して独自の解析を行うことも可能です。
・ 由来の明らかなコンテンツの提供
セキュリティの脆弱性の評価
プロジェクト内で使用するサードパーティソフトウェアコンポーネントに影響する既知の脆弱性を特定してマーク
します。これらのコンポーネントには、検出された脆弱性の修正に優先順位を付けるために重大性の格付け
が付随しています。CI 環境で使用する際に、すでにスキャンされたコンポーネントに対して既知の脆弱性が
新たに検出された場合、アラートが自動的に生成されます。
・ 訴求力および採用率の向上
Protecode Enterprise™
包括的なオープンソースライセンスのレポート作成
ソフトウェアポートフォリオ内で見つかったソフトウェアのパッケージまたはファイルに関連するライ
センスと法的責任が含まれる即時使用可能な総合的リストを作成します。
• ライセンス責任レポート:フリーソフトウェアおよびオープンソースソフトウェア(FOSS)のライセンス各種
ソフトウェアコンポジション解析
(SCA)
を採用すると、セキュリ
ティ、責任、およびリスクの軽減
を高度なレベルでほぼ瞬時に実
現できます。
が含まれるサードパーティコンポーネントを組み込んだ結果生じる法的責任に関するレポート
• ライセンス互換性レポート:コードポートフォリオの解析中に特定された互換性のないライセンスおよび関連
するパッケージのリスト
対応言語
・ C, C++
• 連結されたライセンスおよび帰属リスト:ポートフォリオ内で特定されたすべてのライセンスおよび関連する
パッケージが連結されたリスト、かつライセンスの帰属責任を果たす上で役立つ即時使用可能なレポート
• 高水準なレポートおよび詳細な部品表:完全なポートフォリオについて HTML または一般的なドキュメント形
式で作成された、タイムスタンプ付きの検証可能かつ高水準なエグゼクティブレポートまたは詳細なファイ
ル単位のレポート
・ C#
・ Java
・ Java Script
・ Pascal
・ Perl
・ PHP
・ Python
深いスキャンおよびスニペットの検出
パブリックドメインのオープンソースファイルと一致するファイルに埋め込まれたコードのスニペットまたはコ
ピー/ペーストコードを検出してそのレポートを作成し、使用コードとパブリックドメインコードを並べて類似点
・ Ruby
・ Visual Basic
を比較します。
サポート対象環境
構成可能なライセンスおよび著作権ポリシー
・ マルチコア・プロセッサ
独自の知的財産(IP)ポリシーのテンプレートを定義し、これらを特定のスキャンに適用します。既知のライ
・ WindowsまたはLinux
センスおよび著作権のブラックリストとホワイトリストを定義し、カスタムのライセンスおよび著作権への対応
を定義します。Protecode Enterprise ™では、ポリシーに関する違反が自動的にマークされるため、将来
の調査時に役立ちます。一般的なコードパターンを無視することも、解析の感度を調整することもできます。
輸出規制および暗号レポート
公開されている輸出規制分類番号(ECCN)
、およびプロジェクトまたはコードポートフォリオ内の暗号コンテ
ンツに関するレポートを作成します。多くの国では、製品内に埋め込まれた暗号アルゴリズムの開示を必要と
する輸出規制を施行しています。
・ RAM 8GB以上、最小2GB以上のディスク
の空き容量を推奨
サポート対象となるファイルタイプ
・ ソースファイル
・ バイナリファイル
・ アーカイブファイル
SPDX のサポート
ソフトウェアパッケージデータ交換(SPDX)標準をサポートしています。Protecode Enterprise ™では、
SPDX ファイルを読み込んで生成できます。
レポート作成オプション
HTML、スプレッドシート、または一般的なドキュメント形式でレポートを作成します。
日本シノプシス合同会社 営業本部 ソフトウェア インテグリティグループ
www.coverity.com/html_ja
〒158-0094 東京都世田谷区玉川2-21-1二子玉川ライズオフィス
TEL: 03-6746-3600 Email: sig-japan-sales@synopsys.com
©2016 Synopsys, Inc. All rights reserved. Coverity は Synopsys, Inc. の登録商標です。
その他の会社名および商品名は各社の商標または登
録商標です。