Black Duckの製品ラインは?
2つの製品ラインがある。
メインは最新の「Black Duck Hub」だ。160万のオープンソースプロジェクトで構成されるナレッジベースを使い、フィンガープリントを用いて検出できる。アプリケーションコード、バイナリ、アーティファクトなどをスキャンし、その中に含まれているオープンソースコードを特定できる。スキャン結果とナレッジベースを高速に比較でき、大規模なコードベースを数分でスキャンできる。Linuxコンテナにも対応する。
この情報を利用してオープンソースコンポーネントの在庫を作り、ライセンスの種類、運用上のリスク(コミュニティがアクティブかどうかなど)、セキュリティリスクなどとマッピングできる。
セキュリティでは、脆弱性データベース「NVD(National Vulnerability Database)」に加えて、独自のプロプライエタリの脆弱性データベースを持つ。われわれの脆弱性データベースはより多くの情報が含まれており、迅速に対応できる。脆弱性情報をスキャン後、顧客に通知する。初期スキャンだけでなく、その後も新しい脆弱性が出てきたら報告する。
2つめは「Protex」で、同じようにナレッジベースを持ちスキャンをするが、Hubとは異なる方法で動く。主要な利点は、実際のソースコードを見て開発者がオープンソースプロジェクトからカット&ペースとした部分を検出できる点だ。ライセンスコンプライアンスという点で、大企業の多くが知財リスク管理のためにこの情報を知りたいと思っている。
カット&ペーストしている部分があるかどうかを調べる機能はHubにはなく、来年対応する予定だ。Protexは古い技術を使っているので、最終的にはProtex顧客をHubに移行させていきたい。
導入顧客としては、富士通、NEC、任天堂、Samsung、LG、Motorola、Intel、SAPなどの技術企業のほか、Citibankなどの金融機関も利用している。
--自動運転車などの開発が進んでいるが、そこにバグがあり、侵入されてしまうと、事故や人命に関わる事態になる。
自動車メーカーは、車を構成するパーツの管理という点で非常に優れたノウハウや手法を持つ。あるメーカーが同じ機種の車を製造する場合、トランスミッションがどう違うのかなど細部まで把握している。ある部品に異常があった場合、ロットを特定し、影響するロットを使っている車を追跡してその車の所有者にリコールを出せる。
現在のトレンドは、(ハードウェアのコンポーネントではなく)車内のシステムが組み込みソフトウェアで構築されつつあるというものだ。将来的に、自動運転など高度なソフトウェアが導入される素地ができつつある。
衝突を回避したり、速度を管理するような安全のためのソフトウェアが想定されるが、これらはこれまで伝統的に自動車メーカーがやってきたことではない。これは、もし脆弱性があった場合に悪用されてしまう可能性につながる。
それでも、自動運転の将来性は大きい。自動運転車は飲酒しないし、居眠りもしない。他のドライバーに対して向かってくることもない。ソフトウェアの在庫をきちんと管理できれば、潜在的なリスクよりもメリットが大きいといえる。