OPSWAT SBOM
ソフトウェアサプライチェーンにおけるセキュリティとコンプライアンスを確保しましょう。OPSWAT (Software )を活用することで、開発者は既知の脆弱性を特定し、ライセンスを検証し、OSS(オープンソースソフトウェア)、サードパーティ製依存関係、およびコンテナのコンポーネントインベントリを生成することができます。
- Supply Chain 透明性
- CycloneDX および SPDX における SBOM
- 脆弱性に関する分析
OPSWAT 信頼
のSBOM作成の自動化
CycloneDX および SPDX フォーマット
700万人以上
サードパーティ製オープンソース
Software Components
CI/CDパイプラインと
の連携
ライセンス情報
脆弱性への認識
隠れた依存関係がSoftware を危険Software さらす
Software の可視性の欠如
開発チームは、オープンソースのリポジトリやサードパーティ製コンポーネントに依存しています。一元化されたSBOMがなければ、組織はアプリケーションやコンテナにどのようなソフトウェアが組み込まれているかを把握することができません。
コンプライアンスと規制要件
EU CRA、NIS2指令、大統領令14028号、およびNISTフレームワークなどの規制では、組織に対しソフトウェアの構成とリスクの開示が求められています。手動によるSBOMの作成は時間がかかり、一貫性に欠け、変化の激しい開発パイプライン全体で維持することが困難です。
未知の脆弱性および未修正の脆弱性
新たなCVEが公表された際、自動化されたSBOMを導入していないチームでは、影響を受ける依存関係を迅速に特定することができません。これにより、インシデント対応が遅れ、脆弱性が露呈する期間が長引き、ソフトウェア・サプライチェーン全体における情報漏洩のリスクが高まります。
分析、検出、生成
「原産国」エンジンは、ファイルのフィンガープリントとメタデータを分析して地理的な発信元を特定し、ポリシーに基づいたアクションを実行します。
ステップ1ソースコードとコンテナの分析
開発ライフサイクル全体を通じて、バイナリやコンテナイメージのレイヤーをスキャンし、未知のリスクが本番環境に到達する前に、組み込まれたソフトウェアコンポーネントを特定します。
- ステップ2
コンポーネントと脆弱性の検出
オープンソースおよびサードパーティ製コンポーネントを自動的に特定し、既知の脆弱性と照合することで、セキュリティチームがリスクの程度や是正措置の優先順位を明確に把握できるようにします。
- ステップ3
SBOMを標準化された形式でエクスポートする
SPDXまたはCycloneDX形式の機械可読なSBOMを生成し、規制コンプライアンスの遵守を支援し、ベンダー監査を効率化し、セキュリティおよびGRCワークフローとの連携を実現します。
お客様がソリューションを開発し、私たちがリスクを管理します。
オープンソース・
Software特定と追跡
500万のライブラリからオープンソースコンポーネントを自動的に特定し、重要なソフトウェアの更新や脆弱性パッチを監視します。
ツールの相互運用性に向けた標準化されたSBOM(
)構造
SPDXおよびCycloneDX形式によるSBOMの標準化を支援し、生成、共有、活用を容易にします。
Software コンテナの脆弱性を検出する
GHSA、CVE、EUVDなどの信頼できる脆弱性データベースとソフトウェアコンポーネントを照合することで、ソースコードおよびコンテナ全体にわたるリスクの特定と軽減を行います。
への脅威の侵入を阻止 Software チェーン
Metascan™Multiscanning Proactive DLP™ と組み合わせることで、既知のマルウェアの99%以上を事前に検出し、未知のエクスプロイトを防止します。
柔軟で自動化された
スキャン
セキュリティエンジニアやGRC(ガバナンス、リスク、コンプライアンス)チーム向けにカスタマイズされたリアルタイムレポートを通じて、規制や内部セキュリティガイドラインを継続的に評価します。
に準拠していないライセンスは避けてください
OSSおよびサードパーティ製依存ライブラリについて、ライセンスの有効性を確認し、承認済みのライセンスを使用します。GPL、AGPL、MITなどの高リスクなライセンスを特定します。
Software保護する統合ソリューション
統合型開発者向けセキュリティプラットフォーム「
」を活用し、コードとコンテナをスキャンすることで、オープンソース依存関係に含まれる依存関係や脆弱性を一括して特定できます。
スキャン中に特定されたすべてのソフトウェアコンポーネントと脆弱性に関する可視性を提供します。
各パッケージに関連付けられたライセンスタイプを、検出されたバージョンおよび利用可能なアップグレードバージョンと共に表示します。
既知の脆弱性をまとめたハイライトパッケージ。深刻度別の詳細なCVE内訳が含まれており、チームが修正の優先順位付けを行うのに役立ちます。
CycloneDXやSPDXを含む、複数のレポート形式およびSBOM形式でのスキャン結果のエクスポートが可能です。
既存のSBOMレポートをインポートしてその正確性を確認し、最新の脅威インテリジェンスに基づいて欠落しているCVEを自動的に特定します。
任意のファイルをアップロードするだけで、即座にSBOMを生成し、脆弱性分析を行うことができます。リポジトリとの連携は不要です。
ソフトウェア部品表スキャン中に特定されたすべてのソフトウェアコンポーネントと脆弱性に関する可視性を提供します。
- ライセンスとバージョン
各パッケージに関連付けられたライセンスタイプを、検出されたバージョンおよび利用可能なアップグレードバージョンと共に表示します。
- 脆弱性のあるパッケージ
既知の脆弱性をまとめたハイライトパッケージ。深刻度別の詳細なCVE内訳が含まれており、チームが修正の優先順位付けを行うのに役立ちます。
- SBOMレポートのエクスポート
CycloneDXやSPDXを含む、複数のレポート形式およびSBOM形式でのスキャン結果のエクスポートが可能です。
SBOMの検証とCVE情報の補完既存のSBOMレポートをインポートしてその正確性を確認し、最新の脅威インテリジェンスに基づいて欠落しているCVEを自動的に特定します。
- ファイルアップロード時のスキャン
任意のファイルをアップロードするだけで、即座にSBOMを生成し、脆弱性分析を行うことができます。リポジトリとの連携は不要です。
連携機能と対応言語
活用例
コード用のSBOM
開発者がオープンソースの依存関係のセキュリティ脆弱性とライセンス上の懸念を特定し、優先順位を付け、対処できるようにします。
コンテナ用のSBOM
コンテナイメージを分析し、パッケージ名、バージョン情報、潜在的な脆弱性の SBOM を生成します。
サプライチェーンセキュリティ向けのSBOM
単一のプラットフォームからソフトウェア サプライ チェーンを保護して、セキュリティを強化し、リスクを軽減し、安全なソフトウェアを提供します。
参考資料
ガイド2026年向けSBOMガイド:コンプライアンスをセキュリティ資産に変える
ブログ記事『デューン』からnpmへ:シャイ・フルード・ワームがSupply Chain 再定義する
- ブログ記事
シャイ・フルード2.0:Supply Chainにおける第二波にどう備えるか
- ブログ記事
ESLintのハッキングにより、ソフトウェア・サプライチェーン 懸念が高まる
- ブログ記事
20億ダウンロードのnpmが暗号マルウェアのリスクに:オープンソースのSupply Chain 警鐘
- ブログ記事
Software Bill of Materials (SBOM) 説明
- ブログ記事
ソフトウェア サプライ チェーン セキュリティ: その概要と重要な理由
