Instagram Linkedin

Mend.io(元 WhiteSource)

オープンソースのコンポーネントスキャンと管理
AppSecプラットフォーム

Mendは、AIセキュリティ検出、SCAオープンソースコンポーネント管理、SASTコードスキャンを統合し、オープンソースコードとカスタムコードの両方における脆弱性の自動修復をサポートする世界初のプラットフォームです。世界をリードする脆弱性データベースと到達可能性分析技術を活用することで、無効なアラートを85%削減し、ワンクリックで修復プルリクエストを自動生成できます。標準化されたSBOMレポートを提供することで、ソフトウェアサプライチェーンのセキュリティコンプライアンス要件を満たします。

製品マニュアル

オープンソースの脆弱性の現状

エンタープライズ アプリケーションの 95% 以上は、プロジェクト開発を支援するためにオープン ソース コンポーネントを利用しています。
オープンソース コンポーネントの脆弱性の 86% は、ハッカーの攻撃により大量の個人情報の漏洩につながる可能性があります。
2019年時点で、オープンソースコンポーネントの脆弱性の数は50万件に達しています。
アプリケーションの 67% に既知のオープンソースの脆弱性が含まれています。
2023年時点で、世界中のオープンソースソフトウェアリポジトリのダウンロード数は31兆回に達し、オープンソースソフトウェアリポジトリを標的とした悪意のある攻撃は633%増加しました。
オープンソースライセンスは2,300種類にも上りますが、ほとんどの企業はGPL/AGPLライセンスに違反しているかどうかを認識していません。実際、オープンソースプロジェクトの半数はGPLライセンスを使用しています。
オープンソース コンポーネントで報告された脆弱性の数は 2019 年に過去最高を記録し、成長率は約 50% に達しました。
最も人気のあるオープンソース プロジェクト 100 件のうち、32% に脆弱性があります。
開発者の約 40% が、オープンソースの脆弱性に対処するために毎月 20 ~ 60 時間を費やしています。

オープンソース コンポーネントに管理が必要なのはなぜですか?

オープンソース コンポーネントの管理が難しいのはなぜですか?

  • 企業は、自社のシステムで使用されているオープンソース コンポーネントの数を正確に把握することはできません。
  • オープンソース コンポーネントに重大な脆弱性が見つかった場合、その対応には多くの人手が必要となり、手動によるレビューでは依然として一部の脆弱性が見逃される可能性があります。
  • 使用されているオープンソースコンポーネントにはバージョン管理機能がありますか?企業ポリシーやライセンスコンプライアンス要件に準拠していますか?

体系的なリスク管理ツールを使用してオープンソース コンポーネントを管理する利点:

  • CI/CD 開発プロセスをツールと統合して、リスクの原因をできるだけ早く制御および特定します。
  • 脆弱性情報のリアルタイム更新を取得するために、会社のセキュリティ ポリシーに従って早期警告メカニズムを確立します。
  • 複数の国際的な脆弱性データベースを自動的に比較して追跡し、オープンソース ソフトウェアのセキュリティ リスクとライセンス リスクに関する包括的な情報を提供します。
  • オープンソース コンポーネントの潜在的な問題を包括的に理解し、企業のリスク管理に備えます。

機能モジュールの修復

AIを修復する

AIレッドチームテストのみをサポートするツールとは異なり、MendはAIセキュリティテストを包括的にカバーする先駆者です。AI生成コンテンツのセキュリティを詳細に検査するだけでなく、AIコンポーネントの識別と露出レベルの評価機能も備えており、クライアントが使用するAIコンポーネントのセキュリティレベルを正確に評価します。

SCAを修復する

このシステムは、世界をリードする脆弱性データベースに基づき、CVSS 4.0およびEPSS評価システムと組み合わせることで、脆弱性の影響と発生確率を定量化します。セキュリティアラートを85%削減し、「アラート疲れ」を回避し、チームが真にリスクの高い脆弱性に集中できるようにすることで、ソフトウェアサプライチェーンのセキュリティとコンプライアンスを確保します。

SASTを修復する

さまざまなプラットフォームやフレームワークで開発されたアプリケーションの70 種類以上の CWE タイプ(OWASP Top 10 および SANS 25 を含む)を正確に検出し、従来の SAST ソリューションよりも 10 倍高速です

製品のメリットを補う - 脆弱性の発見ではなく、修正に重点を置く

世界をリードする脆弱性データベース

2 億 7000 万のオープンソース コンポーネントと 130 億のファイルをカバーし、包括的な脅威攻撃ベクトル監視を提供します。

200以上のプログラミング言語と300万以上のコンポーネントをサポートし、NVD、セキュリティ情報、オープンソースプロジェクトトラッカーなどのマルチソース情報を1日に複数回統合します

主要な国際的なオープンソース プロジェクト(GitHub、Maven Central、npmjs など)の脆弱性とライセンス契約をカバーしています。

到達可能性分析に基づく優先順位付け

Mendは、脆弱なコードが実際にプロジェクトで呼び出されているかどうかを分析します。脆弱な関数が一度も実行されていない場合、リスクレベルは大幅に低減されます。エンドツーエンドの分析を活用することで、セキュリティアラートが85%削減され、「アラート疲れ」を回避し、セキュリティチームが真にリスクの高い脆弱性を優先的に処理できるようになります。
 
多くのツールは、共通脆弱性評価システム (CVSS) スコアのみに基づいて脆弱性をランク付けしますが、呼び出されない CVSS スコア 9 の脆弱性は、呼び出される CVSS スコア 7 の脆弱性よりも実際にははるかに低いリスクをもたらす可能性があります

ワンクリック自動修復

Mendは脆弱性の存在を通知するだけでなく、コードリポジトリ(GitHub、GitLab、Azure DevOpsなど)に直接、修正プルリクエスト(PR)を自動的に作成します。このPRには、安全なバージョンへのアップグレードに必要なすべての変更が含まれています。開発者はそれを確認してマージするだけです。

広範なソフトウェア部品表 (SBOM)

Mendは、SBOMレポートを複数の標準形式(SPDX、CycloneDX)で簡単にエクスポートし、サードパーティのSBOMをインポートできます。また、VEXデータを活用し、AIによる透明性を通して政府機関や顧客の要件を満たすことができます。これは、NTIA、CISA FDAなどのソフトウェアサプライチェーンのセキュリティコンプライアンス要件を満たす上で非常に重要です。レポートは非​​常に視覚的に表示され、依存関係を明確に示します。

AppSecの業界リーダーとして認められています

FORRESTERにより6年連続で経営ツールのリーディングブランドとして認められました

京虹必要なサポートは何でもする!

私たちのプロフェッショナルチームが最初に対応し、すべての問題を解決するために最高のサービスを提供します。

お問い合わせ

Kyokotec 京虹 株式會社

We offer best-in-class custom solutions for many different types of projects.

お問い合わせ

Email:kyokotec@gmail.com

            csy@hongtronics.com

登録する

最新ニュースをお見逃しなく!

©2025.Kyokotec . All Rights Reserved.