Software Composition Analysisツールとベンダをまとめてみる
Software Composition Analysis(略してSCA)は日本語でソフトウェア構成分析、コンポジション解析などと呼ばれます。
プロダクトが利用しているOSSを明らかにして、そのセキュリティ脆弱性およびライセンスなどのリスクをマネジメントする機能を有しています。OSS時代には必須のツールですね。
というわけでどんなツールがあるのか、まとめていきましょう。
(自分が知る限りのSCAをリストアップします)
(アルファベット順でいきます)
BlackDuck(Synopsys)
https://www.synopsys.com/software-integrity/security-testing/software-composition-analysis.html
Synopsys社が提供するSCAツールです。国内でも有名で結構色々な代理店がある印象。
国内の導入事例も結構多い印象。
CAST Highlight(CAST Software)
https://www.castsoftware.com/products/highlight
CAST Softwareが提供するSCAツール。といってもSCA以外の機能もついてる。
依存関係を見る画面の見た目がかっこいい。なんか見やすそう。Trusted Byを見る限り結構有名どころの企業さんで導入されているっぽい。
国内の代理店は、多分ない。
Contrast OSS(Contrast Security)
https://www.contrastsecurity.com/open-source-security-software
Contrast Securityが提供するSCAツール。ContrastはIAST、SCA、RASPというソリューション体系でどっちかというとDevOps寄りな印象。
国内の代理店は何個かありますね。
Checkmarx Software Composition Analysis (CxSCA)(Checkmarx)
https://www.checkmarx.com/products/software-composition-analysis/
Checkmarxが提供するSCA。Checkmarxのソリューション体系はSynopsysとかと似ているんだよね。国内代理店はあるっぽい。
FlexNet Code Insight(Flexera)
https://www.revenera.com/protect/products/flexnet-code-insight.html
旧Paramida。Flexera社が提供しているが現在はReveneraというブランドで提供しているようだ。ふーん。国内代理店あり、導入事例もあるっぽい。
FOSSA(FOSSA)
FOSSA社が提供するSCA。ライセンス管理に関してはOSS業界でも知られておりlicense scanのバッジはGitHubでたまに見る。脆弱性管理の機能も最近ついたみたい。国内代理店あり。
Nexus lifecycle(Sonatype)
https://www.sonatype.com/product-nexus-lifecycle
SonatypeはJava屋なら知ってる人多そう。最近はもっぱらDevOpsやSCAに傾倒している様子。ちなみにこっちはNexus使ってなくても使えるらしい。国内代理店はあるっぽい。
Snyk(Snyk)
海外では結構有名なSCA。セキュリティに強い。割と安いらしく導入しやすいらしい。国内代理店はなさそう。
Veracode Software Composition Analysis(Veracode)
https://www.veracode.com/products/software-composition-analysis
VeracodeもSynopsysやCheckmarxのようにSASTやIASTなど一通りやっているベンダ。セキュリティ強い。国内代理店あり。
WhiteHat SCA(WhiteHat Security)
https://www.whitehatsec.com/platform/software-composition-analysis/
いまやNTTグループのWhiteHatのSCAです。こちらもSASTやDASTをやってるベンダ。セキュリティに強い系ですね。
WhiteSource(WhiteSource)
https://www.whitesourcesoftware.com/
国内でも有名なSCA。イスラエルの会社ということでやはりセキュリティには強いイメージ。国内代理店あり。
Xray(JFrog)
JFrogのSCA。話によるとArtifactoryを使ってないと使えないらしい。逆を言うとArtifactory使ってる場合はこれを使うと良いかもしれない。国内のJFrogの代理店から買えそう。
yamory(ビジョナル・インキュベーション ※ビズリーチ)
国内SCAだぁぁ。ビズリーチが作ったOSS脆弱性管理製品。今はビジョナルインキュベーションという会社名になったみたい。オートトリアージ機能は特許取得済み。
付録(製品レビューサイト結果)
海外のレビュープラットフォームでSCAのページを調べた。
どんだけ信用できるかは知らんが、まぁ若干は参考になるかもしれんぬ。
- G2
- Gartner peer insights
https://www.gartner.com/reviews/market/software-composition-analysis-sca
- trustradius
- featuredcustomers
https://www.featuredcustomers.com/software/software-composition-analysis-solutions/all
- IT Central Station
https://www.itcentralstation.com/categories/software-composition-analysis-sca