Wind River Studio Linux Services:
セキュリティとコンプライアンスの
解析とレメディエーション

開発コードの品質向上をはじめ、
アプリケーションの迅速なデプロイに役立つ
セキュリティとコンプライアンスのスキャン、
解析、修正プランサービスを提供します。

 

より高品質なコードを構築し、
アプリケーションのデプロイまでの時間を短縮


開発者は、複雑な組込みソフトウェアシステムに対応したセキュリティとコンプライアンススキャンにより、リスクの高い脆弱性やライセンス問題を迅速に特定し、優先順位付けを行います。

  • プロフェッショナルグレードのセキュリティおよびコンプライアンススキャンにより、開発者は共通の脆弱性やコンプライアンスの問題に対する潜在的なリスクをくまなく評価することができます。
  • 共通脆弱性識別子(CVE)とコンプライアンスのスキャンにより、詳細分析(影響度の判定、リスク緩和にかかる工数見積もり)を必要とする「要注意項目」を知らせます。
  • Yocto ProjectベースのLinuxプラットフォームにおけるマニフェストやオープンソースパッケージをスキャンし、脆弱性やライセンス・コンプライアンス問題を特定します。Yocto Project、NISTをはじめとする公開ソースから収集したデータのほか、Wind River LinuxのCVEデータベース上の情報を分類、整理してスキャンに活用しています。
  • プラットフォームの階層(ハードウェア、カーネル、ユーザ空間、ライブラリ、各種システムコンポーネント)ごとに分析を実施します。グラフィック形式で高リスクの項目が見やすく表示されるため、開発チームはコードの健全性を把握することができます。

サービス内容

セキュリティスキャンとCVEの特定

Linuxプラットフォームをスキャンし、新たに公開されたすべてのCVEに該当する脆弱性の有無をチェックします。プロフェッショナルグレードのスキャンを実行し、スキャン結果をデータベース上の幅広い情報と照合し、潜在的な脆弱性を正確に特定します。その後、当社エンジニアによる詳細分析を経て、お客様のプラットフォームへの実際の影響度合いを判定します。

  • Linuxプラットフォーム(カーネル、BSP、共有ライブラリ、ユーザーライブラリ)のセキュリティスキャン
  • NIST、Yocto Project、MITRE社などが公開するCVEデータベースから収集した脆弱性情報やコンプライアンス問題をまとめたナレッジベースへのアクセス
  • お客様のLinuxプラットフォーム上で未対応のCVEを特定した詳細なセキュリティレポートの提供

ライセンス使用状況の確認

お客様のLinuxプラットフォームをスキャンし、ご利用中の全ライセンスおよび一時的な依存関係を一覧化した詳細レポートを提供します。

  • Linuxプラットフォーム(カーネル、BSP、共有ライブラリ、ユーザーライブラリ)のライセンススキャン
  • プラットフォームで使用されているすべてのライセンスをスキャンし、その許容性、コピーレフト、互換性、および推移的依存性に基づいて分類
  • お客様のLinuxプラットフォーム上で使用されている全ライセンスを一覧化した詳細レポートの提供

CVEの緩和計画

当社のグローバルエンジニアチームと連携し、共通脆弱性評価システム(CVSS)の閾値、影響の深刻度 、攻撃および防御の難度をもとに脆弱性をいち早く特定して優先度別に分類します 。高優先CVEに対処するための緩和計画を提案します。

  • お客様のLinuxプラットフォーム上で未対応のCVEを特定した詳細なセキュリティレポートの提供
  • 既存のCVEについては、深刻度と影響度をもとに、修正の優先順位を判定
  • お客様のLinuxプラットフォームを保護するための対策所要時間とコストの見積もり

ライセンス違反の是正計画

お客様のソリューションで制限付きライセンスが使用されている場合は、その影響度を当社エンジニアチームにて詳細に分析し、 是正オプションや是正タイミングの優先順位付けを実施します。

  • お客様のLinuxプラットフォーム上で使用されている全ライセンスを一覧化した詳細レポートをご提供
  • 組織内で使用を許可されていないライセンスの対応優先順位付け
  • Linux プラットフォームをライセンスポリシーに準拠させるための時間とコストの評価

CVEの緩和

お客様のLinuxプラットフォームに存在するCVEの影響度をウインドリバーのエンジニアチームにて詳細分析し、修正オプションや修正タイミングの優先順位付けを支援します。コミュニティに公開されているパッチをお客様のコードに適用する際は、あらかじめ当社にてバックポート、妥当性確認、検証を行います。コミュニティベースのソリューションが利用できない場合は、お客様側の開発チームと連携し、技術的ソリューションを考案します。

  • 既存のCVEの優先順位の判定
  • コミュニティで公開中のCVE対策パッチを適用する場合は 、バックポート、妥当性確認、検証を完了した後に、お客様のLinuxプラットフォームへ適用
  • コミュニティでパッチが公開されていない場合は、新たなCVE対策ソリューションを開発

ライセンス違反の是正

お客様のソリューションで制限付きライセンスが使用されている場合は、その影響度を当社エンジニアチームにて詳細に分析し、 是正オプションや是正タイミングの優先順位付けを実施します。

  • 使用中の制限付きライセンスを優先度別に分類し、是正計画を策定
  • ライセンス違反を防止するための代替パッケージの適用、または新たなソリューションの開発

品質へのこだわり

お客様環境におけるLinuxプラットフォームの品質と安定性を確保します。修正対策はすべて、当社の継続的インテグレーション(CI)パイプラインに展開し、開発期間全体にわたる 夜間/週次/月次のビルド・テスト プロセスに反映します 。修正やテストを実施し、リリースが完了した時点で、プロジェクト検証時の参考材料となるソフトウェア部品表およびドキュメントを当社にて作成します 。

  • パッチやカスタムソリューションを適用してプラットフォームを改変する場合は必ず 、適用前に妥当性確認と検証を行った後に再デプロイを実行
  • 当社のCIパイプラインを活用した夜間ビルド・テストプロセスにより、高品質を確保

ソフトウェア部品表およびリリースドキュメント

コード改変の都度、ソフトウェア部品表を新たに作成します。

  • 緩和計画に基づき、CVEやライセンス問題を修正するためのすべてのパッチを適用したリリース
  • 修正パッチのリリース状況や進捗状況を追跡管理するためのオンラインダッシュボードとレポート
  • 修正済のCVEをリリースノートに記録

コミュニティへのアップストリーム

ウインドリバーはお客様のパートナーとしてお客様の声をYocto Projectに反映します。
お客様に代わって修正やエンジニアによる解決策をコミュニティにアップストリームすることでコミュニティの活動に貢献します。

グローバルサポート

グローバルなエキスパートチームがお客様のLinuxプラットフォームをサポートします。その他のサポートオプションもご利用いただけます。
» ウインドリバーのサポートに関する受賞歴と評価

  • 修正期間中は随時、オンラインサポートポータル経由でチケットを申請可能
  • ウインドリバーのエンジニアによるレビューで、タイムリーな対応を実現
  • プロジェクトに精通した専任エンジニアによるサポートをご希望のお客様向けにはプレミアムサポートオプションをご用意

グローバルサポートセンター

  • North America
  • Ottowa, Canada
  • Dublin, OH
  • Alameda, CA
  • Detroit, MI
  • Costa Rica
  • South America
  • Cordoba, Argentina
  • (C/E Services Only)
  • Europe
  • Stockholm, Sweden
  • Paris, France
  • Munich, Germany
  • Galati, Romania
  • China
  • Chengdu, China
  • Beijing, China
  • Korea
  • Seoul, Korea
  • Japan
  • Tokyo, Japan

オープンソースを推進するリーダーとしての技術的専門知識

ウインドリバーはLinux Foundation傘下のYocto Project創設メンバーであり、複数の主要なコンポーネントに対する開発や保守に携わっており、トップコントリビュータ/メンテナーとして大きく貢献しています。
» Yocto Projectについて詳しく知る

  • リーディングコントリビューターとして、過去5年にわたりYocto Projectに多くのコードをコミット
  • 最近ではセキュリティ対応ツールの提供を通じて、Yocto Projectに貢献
  • コミュニティでのプロジェクトガバナンスと活動の確かな実績

関連ブログ

試作からデプロイ後の保守管理まで:Linuxベースの開発で重要な判断ポイント

組込み業界では、Linux製品のライフサイクルは5年、10年、あるいは15年以上に及ぶこともあります。現在および今後の決断次第では、今後何年にもわたって製品のスピード、品質、リソースに影響を与えることになります。また、技術的負債を生み出し、将来のスケーラビリティ、収益性、プロジェクト全体の成功に直接影響を与える可能性があります。

≫ 続きを読む