Azure用（GitHub用）WhiteSource BoltとWhiteSourceフル・ソリューション比較

HOME

2019/07/31
Azure用（GitHub用）WhiteSource BoltとWhiteSourceフル・ソリューション比較

Author

澤田深雪Miyuki Sawada

澤田深雪

みなさん、こんにちは。リックソフト澤田です。

弊社では最近、脆弱性チェックをする「WhiteSource」製品の販売を開始いたしました。
WhiteSourceには、Azure用Bolt、GitHub用Boltがあり、お客様より弊社の販売しているWhiteSource製品とどう違うのか質問がございました。
今回のブログではBolt（Azure用、GitHub用）とWhiteSource完全版（フル・ソリューション）との機能の違いをご説明したいと思います。

Azure用のWhiteSource Bolt

こちらからダウンロードできます。

在庫管理：基本機能

	Azure DevOps用WhiteSource Bolt	WhiteSourceフルソリューション
言語とフレームワークの適用範囲	9つの言語（C、C ++、GO、JavaScript、PHP、Python、Ruby、Clojure、Swift）をサポートします。	200を超える言語、フレームワーク、および開発環境に対応しています。
DevOpsツールとの統合	Azure Pipelinesと統合します。	IDE、パッケージマネージャ、リポジトリ、ビルドツール、コンテナレジストリ、CIサーバー、およびASTツールと統合します。
依存関係の検出		未宣言の依存関係を含む、依存関係ツリーとマニフェストファイルを完全に解決します。
自動ポリシー施行		重大度、ライセンスの種類、図書館の利用期間などに基づいて自動ワークフローを開始します。
報告	インベントリ、脆弱性、ライセンス、および期限切れのコンポーネントレポートは、プロジェクトレベルごとにのみ報告されます。	インベントリレポート、デューデリジェンスレポート、リスクおよびアトリビューションレポート、さらにはトレンドレポートなど、プロジェクト、製品または組織レベルでの多数の組み込みレポート。

脆弱なコンポーネントの特定：基本機能

	Azure DevOps用WhiteSource Bolt	WhiteSourceフルソリューション
脆弱性の特定	NVD、セキュリティアドバイザリ、およびオープンソースの問題追跡機能など、多数の情報源を集約します。影響と信頼性を判断するための専門家による分析。	NVD、セキュリティアドバイザリ、およびオープンソースの問題追跡機能など、多数の情報源を集約します。影響と信頼性を判断するための専門家による分析。
依存関係の検出	特定のバージョンに対する脆弱性の正確な関連付けにより、誤検出をゼロにします。	特定のバージョンに対する脆弱性の正確な関連付けにより、誤検出をゼロにします。
リアルタイムアラート		検出時に自動ワークフローを開始するなど、リアルタイムのアラート。コンポーネントと脆弱性データベースは毎日更新されて最新の情報を提供します。

脆弱性の修正：基本機能

	Azure DevOps用WhiteSource Bolt	WhiteSource フルソリューション
コード内の脆弱性を正確に特定する（トレース分析）		各脆弱性について完全なトレース分析を提供します。コードのどの部分（行番号まで）が脆弱な機能の影響を受けているかを示します。
優先順位付け		独自のコードが実際に脆弱な機能を呼び出しているかどうかを分析することで、検出された脆弱性に優先順位を付け、セキュリティアラートを70％から85％削減します。
提案された修正	パッチ、特定のソースファイル、および問題を修正する新しいバージョンへの推奨リンク、および脆弱な方法をブロックする推奨コード変更を提供します。悪用を阻止するためにシステム構成を変更することをお勧めします。	パッチ、特定のソースファイル、および問題を修正する新しいバージョンへの推奨リンク、および脆弱な方法をブロックする推奨コード変更を提供します。悪用を阻止するためにシステム構成を変更することをお勧めします。
プルリクエストの自動生成		依存関係の更新が必要になった場合、または継続的なスケジュールに基づいて、自動プルリクエスト（PR）を受信します。

ライセンスコンプライアンス：基本機能

	Azure DevOps用WhiteSource Bolt	WhiteSourceフルソリューション
リアルタイムアラート		不要なライセンスを持つコンポーネントがソフトウェアに追加されたときにリアルタイムのアラートを受け取ります。
監査		すべての関連する組織の役割について作成された幅広いレポートを提供します。研究開発、IT、セキュリティ、法務、管理といった内部チームに可視性を提供します。コンプライアンス監査担当者とデューデリジェンス調査担当者に可視性を提供します。デプロイのための属性通知を自動化します。

GitHub用のWhiteSource Bolt

こちらからダウンロードできます。

在庫管理：基本機能

	GitHub用WhiteSource Bolt	WhiteSourceフルソリューション
言語とフレームワークの適用範囲	200を超える言語、フレームワーク、および開発環境をサポートしています。	200を超える言語、フレームワーク、および開発環境をサポートしています。
DevOpsツールとの統合	GitHub.comと統合します。	IDES、パッケージマネージャ、issue tracker、リポジトリ、ビルドツール、コンテナレジストリ、CIサーバー、セキュリティツールと統合します。
依存関係の検出	未宣言の依存関係を含む依存関係ツリーとマニフェストファイルを完全に解決します。	未宣言の依存関係を含む依存関係ツリーとマニフェストファイルを完全に解決します。
自動ポリシー施行		重大度、ライセンスの種類、図書館の利用期間などに基づいて自動ワークフローを開始します。
報告		インベントリレポート、デューデリジェンスレポート、リスクおよびアトリビューションレポート、さらにはトレンドレポートなど、プロジェクト、製品または組織レベルでの多数の組み込みレポート。

脆弱性の特定：基本機能

	GitHub用WhiteSource Bolt	WhiteSourceフルソリューション
脆弱性の特定	NVD、セキュリティアドバイザリ、およびオープンソースの問題追跡機能など、多数の情報源を集約します。影響と信頼性を判断するための専門家による分析。	NVD、セキュリティアドバイザリ、およびオープンソースの問題追跡機能など、多数の情報源を集約します。影響と信頼性を判断するための専門家による分析。
精度と誤検知	特定のバージョンに対する脆弱性の正確な関連付けにより、誤検出をゼロにします。	特定のバージョンに対する脆弱性の正確な関連付けにより、誤検出をゼロにします。
リアルタイムアラート	GitHub UI内に脆弱なコンポーネントを警告するための問題を作成します。	検出時に自動ワークフローを開始するなど、リアルタイムのアラート。コンポーネントと脆弱性データベースは毎日更新されて最新の情報を提供します。

脆弱性の修正：基本機能

	Azure DevOps用 WhiteSource Bolt	WhiteSourceフルソリューション
コード内の脆弱性を正確に特定する（トレース分析）		各脆弱性について完全なトレース分析を提供します。コードのどの部分（行番号まで）が脆弱な機能の影響を受けているかを示します。
優先順位付け		独自のコードが実際に脆弱な機能を呼び出しているかどうかを分析することで、検出された脆弱性に優先順位を付け、セキュリティアラートを70％から85％削減します。
提案された修正	パッチ、特定のソースファイル、および問題を修正する新しいバージョンへの推奨リンクを1つ提供し、脆弱な方法をブロックする推奨コード変更を提供します。悪用を阻止するためにシステム構成を変更することをお勧めします。	パッチ、特定のソースファイル、および問題を修正する新しいバージョンへの推奨リンクを1つ提供し、脆弱な方法をブロックする推奨コード変更を提供します。悪用を阻止するためにシステム構成を変更することをお勧めします。
プルリクエストの自動生成		依存関係の更新が必要になった場合、または継続的なスケジュールに基づいて、自動プルリクエスト（PR）を受信します。

ライセンス・コンプライアンス：基本機能

	Azure DevOps用 WhiteSource Bolt	WhiteSourceフルソリューション
リアルタイムアラート		不要なライセンスを持つコンポーネントがソフトウェアに追加されたときにリアルタイムのアラートを受け取る。
監査		すべての関連する組織の役割について作成された幅広いレポートを提供します。研究開発、IT、セキュリティ、法務、管理といった内部チームに可視性を提供します。コンプライアンス監査担当者とデューデリジェンス調査担当者に可視性を提供します。展開のための帰属通知を自動化します。