Instagram X-twitter

Mend.io(元 WhiteSource)

オープンソースコンポーネントのスキャンおよび管理
AppSecプラットフォーム

アイテバオ Mend は、オープンソースおよびカスタムコードの脆弱性を自動修復できる、世界初のプラットフォームです。AI を活用したセキュリティ検知、SCA によるオープンソースコンポーネント管理、SAST によるコードスキャン機能を統合的に提供します。
世界有数の脆弱性データベースと到達性分析(リーチャビリティ分析)技術を基盤とし、無効なアラートを最大 85% 削減するとともに、ワンクリックで修正用 PR を自動生成できます。
また、標準化された SBOM レポートを提供し、ソフトウェアサプライチェーンセキュリティに関するコンプライアンス要件への対応を支援します。
製品マニュアル

オープンソースの脆弱性の現状

企業向けアプリケーションの 95% 以上が、開発にオープンソースコンポーネントを活用しています。
オープンソースコンポーネントの脆弱性の 86% は、サイバー攻撃によって大規模な個人情報漏洩につながる可能性があります。
2019 年時点で、オープンソースコンポーネントの脆弱性数は 50 万件に達しています。
67% のアプリケーションには、既知のオープンソース脆弱性が含まれています。
2023 年時点で、世界のオープンソースソフトウェアリポジトリのダウンロード数は累計 31 兆回に達し、オープンソースリポジトリを標的とした悪意ある攻撃は 633% 増加しました。
オープンソースライセンスは 2,300 種類以上存在し、多くの企業が GPL/AGPL ライセンスへの違反有無を把握できていません。さらに、オープンソースプロジェクトの約半数が GPL ライセンスを採用しています。
2019 年には、オープンソースコンポーネントに関する報告脆弱性数が過去最高を記録し、増加率は約 50% に達しました。
最も人気のある上位 100 のオープンソースプロジェクトのうち、32% に脆弱性リスクが存在しています。
約 40% の開発者が、毎月 20〜60 時間をオープンソース脆弱性対応に費やしています。

なぜオープンソースコンポーネントの管理が必要なのか

オープンソースコンポーネントはなぜ管理が難しいのか

  • 企業は、自社システム内で使用されているオープンソースコンポーネントの総数を正確に把握することができません。
  • オープンソースコンポーネントに重大な脆弱性が発見された場合、多くの人的リソースを投入して対応する必要があり、手作業による調査では見落としが発生する可能性があります。
  • 使用しているオープンソースコンポーネントが適切にバージョン管理されているか、社内ポリシーやライセンス(License)要件に準拠しているかを判断するのは困難です。

システム化されたリスク管理ツールによってオープンソースコンポーネントを管理するメリット

  • ツールを CI/CD 開発プロセスに統合することで、リスクを早期に把握し、リスク発生源を事前に管理できます。
  • 企業のセキュリティポリシーに基づいてアラートを設定し、脆弱性情報の更新をリアルタイムで取得できます。
  • 複数の国際的な脆弱性データベースを自動的に照合・追跡し、オープンソースソフトウェアのセキュリティリスク(Security Risk)およびライセンスリスク(License Risk)に関する包括的な情報を提供します。
  • オープンソースコンポーネントに潜在する問題を包括的に把握し、企業のリスク管理に万全の備えを行うことができます。

Mend の機能モジュール

Mend AI

AI レッドチームテストのみに対応するツールとは異なり、Mend は AI セキュリティテストを全方位でカバーする先駆的なソリューションです。AI が生成するコンテンツの安全性を深く検査するだけでなく、AI コンポーネントの識別および露出レベルの評価機能を備えており、利用中の AI コンポーネントのセキュリティレベルを正確に評価できます。

Mend SCA

世界トップクラスの脆弱性データベースを基盤に、CVSS 4.0 および EPSS 評価モデルを組み合わせることで、脆弱性の影響度と悪用される可能性を定量化します。
セキュリティアラートを最大 85% 削減し、「アラート疲れ」を防止することで、チームが真にリスクの高い重大な脆弱性に集中できるようにし、ソフトウェアサプライチェーンのセキュリティとコンプライアンスを確保します。

Mend SAST

OWASP Top 10 や SANS Top 25 を含む 70 種類以上の CWE タイプを高精度に検出し、さまざまなプラットフォームやフレームワークで開発されるアプリケーションに対応します。従来の SAST ソリューションと比較して、最大 10 倍の高速スキャンを実現します。

Mend の製品優位性 ― 脆弱性の「発見」ではなく「修復」に注力

世界トップクラスの脆弱性データベース

2.7 億以上のオープンソースコンポーネントと 130 億以上のファイルをカバーし、脅威となる攻撃ベクトルを包括的に監視します。
 
200 以上のプログラミング言語と 300 万以上のコンポーネントをサポートし、NVD、セキュリティアドバイザリ、オープンソースプロジェクトのトラッカーなど、複数の情報ソースを毎日複数回統合します。
 
GitHub、Maven Central、npmjs など、国際的に主要なオープンソースプロジェクトにおける脆弱性およびライセンス情報を網羅しています。

到達性分析に基づく優先順位付け

Mend は、脆弱なコードが実際にプロジェクト内で呼び出されているかどうかを分析します。脆弱性を含む関数が一度も実行されていない場合、そのリスクレベルは大幅に低減されます。

エンドツーエンドの到達性分析により、セキュリティアラートを最大 85% 削減し、「アラート疲れ」を防止することで、セキュリティチームが本当にリスクの高い脆弱性を優先的に対応できるようにします。

 
多くのツールが共通脆弱性評価システム(CVSS)のスコアのみで優先順位を付けているのに対し、CVSS 9 の脆弱性であっても呼び出されていなければ、実際のリスクは、呼び出されている CVSS 7 の脆弱性より低い場合があります。

ワンクリックの自動修復

Mend は単に「脆弱性が存在する」と通知するだけでなく、GitHub、GitLab、Azure DevOps などのコードリポジトリ上に、修正用のプルリクエスト(PR)を自動で作成します。
 
この PR には、安全なバージョンへアップグレードするために必要なすべての変更が含まれており、開発者はレビューしてマージするだけで対応できます。

充実したソフトウェア部品表(SBOM)

Mend は、SPDX や CycloneDX などの標準フォーマットで SBOM レポートを容易にエクスポートでき、第三者の SBOM との連携も可能です。さらに、VEX データと AI による透明性を活用することで、政府機関や顧客からの要求に対応します。これは、NTIA、CISA、FDA などが求めるソフトウェアサプライチェーンセキュリティのコンプライアンスを満たす上で極めて重要です。
レポートは高い可視性を備えており、依存関係のチェーンを分かりやすく可視化します。

AppSecの業界リーダーとして認められています

FORRESTERにより6年連続で経営ツールのリーディングブランドとして認められました

京虹は、お客様に必要なサポートを幅広く提供します。

経験豊富な専門チームが迅速に対応し、課題解決に向けて最適なサポートをご提供します
お問い合わせ

Kyokotec 京虹 株式會社

We offer best-in-class custom solutions for many different types of projects.

お問い合わせ

Email:kyokotec@gmail.com

            sales@kyokotec.com

登録する

最新ニュースをお見逃しなく!

©2025.Kyokotec . All Rights Reserved.