今日のアプリケーションは、何千ものオープンソースライブラリやサードパーティコンポーネントから構築されており、コードベースの70～90% を占めることがよくあります。これは開発を加速させる一方で、攻撃対象も拡大させます。Log4Shell（Log4j）のような脆弱性は、広く使われている依存関係におけるたった1つの欠陥が、いかに世界的なセキュリティ危機を引き起こし得るかを示しました。これらのコンポーネントを可視化しないと、組織は次のようなリスクを負うことになります：アプリケーションを既知の脆弱性にさらす オープンソースのライセンス条項に違反する 時代遅れのコンポーネントや放棄されたコンポーネントを運用する 新たな規制（SBOM要件など）に準拠しない SCAは、これらのリスクをプロアクティブに管理するために必要な可視性と制御を提供します。

お問い合わせ関連製品

概要

ソフトウェア構成分析（SCA）は、最新のアプリケーションで使用されるオープンソースやサードパーティのコンポーネントを特定し、追跡し、管理するアプリケーションセキュリティの実践です。ソフトウェアの依存関係を分析することで、SCAは組織が脆弱性を検出し、ライセンスコンプライアンスを実施し、ソフトウェアサプライチェーンセキュリティを管理するのに役立ちます。

ソフトウェア構成分析

SCAはなぜ重要なのか？

今日のアプリケーションは、何千ものオープンソースのライブラリやサードパーティのコンポーネントから構築されており、コードベースの70-90% を占めることが多い。これは開発を加速させる一方で、攻撃対象も拡大させる。Log4Shell（Log4j）のような脆弱性は、広く使われている依存関係におけるたった一つの欠陥が、いかに世界的なセキュリティ危機を引き起こしうるかを示した。

これらのコンポーネントを可視化しなければ、組織はリスクを負うことになる：

アプリケーションを既知の脆弱性にさらす
オープンソースのライセンス条項違反
時代遅れの、あるいは放棄されたコンポーネントの稼動
新たな規制（SBOM要件など）への不遵守

SCAは、これらのリスクをプロアクティブに管理するために必要な可視性とコントロールを提供します。

ソフトウェア構成分析の仕組み

SCAツールは、ソースコードリポジトリ、CI/CDパイプライン、パッケージマネージャと統合し、アプリケーション内のオープンソースコンポーネントとサードパーティコンポーネントを自動的に識別する。

主な能力は以下の通り：

コンポーネントの識別：完全なソフトウェア部品表（SBOM）を構築する。
脆弱性の検出：NVDや脅威インテリジェンスフィードのようなデータベースを使用して、既知の欠陥にフラグを立てる。
オープンソースライセンスのコンプライアンス：オープンソースライセンスの種類を監視し、法的および運用上のリスクを防止します。
修復ガイダンス：問題を修正するための安全なバージョンまたは代替手段を推奨する。
継続的なモニタリング：新たな脆弱性が既存の依存関係に影響を及ぼすと、チームに警告を発します。

SCAのメリット

可視性：オープンソースとサードパーティの依存関係を完全に把握。
リスクの軽減：脆弱性のプロアクティブな検出と修復。
コンプライアンスのサポート：ライセンス義務および規制基準の遵守を保証します。
開発者のエンパワーメント：開発者のワークフローに統合することで、より速く、より安全なコードを実現します。
サプライチェーンの回復力：アプリケーションエコシステム全体のリスクから保護します。

OpenText™ Application Security によるソフトウェア構成分析

OpenTextは、アプリケーション・セキュリティ・テスト（AST）プラットフォームの一部として、以下のような包括的なSCA機能を提供しています：

オープンソースとサードパーティのライブラリのディープスキャン。
コンプライアンスと透明性のための継続的なSBOM管理。
開発者のワークフロー、CI/CDパイプライン、ガバナンスツールとの統合。
クラウドネイティブ、API、モバイル、コンテナ型アプリケーションをサポート。
AIを活用したガイダンスにより、誤検知を減らし、修復を促進します。

主な収穫

SCAは、オープンソースやサードパーティのコンポーネントの可視化、コンプライアンス、リスク管理を提供することで、今日のソフトウェア・サプライチェーンの安全性を確保するために不可欠です。