Black Duck 監査サービス

プロセスリスクの評価

ソフトウェア開発監査ソフトウェア開発ライフサイクル（SDLC）を構成するプロセスとプラクティス（AIの活用、コーディング規約、プロセス、ツールなど）を評価します。現状を評価し、開発と保守のコストを削減しながらプロセスを改善するための提言を行います。

コードリスクの評価

ソフトウェア内のリスクのあるコンポーネントを特定

オープンソースとサードパーティの監査ソフトウェア・コンポジションの技法を用いて、Black Duck KnowledgeBase™ やオープンソースの専門監査人が、オープンソースとサードパーティのコンポーネント、AIモデル、ライセンス義務、ライセンス競合分析を含む、完全かつ正確なソフトウェア部品表（SBOM） を提供します。

オープンソース・リスク分析では独自の Black Duck Security Advisories を用いて、脆弱性、運用リスク、暗号化機能を特定することでコンプライアンスへの準拠を確かなものにします。

ウェブ・サービスとAPIのリスク監査 アプリケーションが使用する外部ウェブサービスを検出し、潜在的な法的リスクやデータ・プライバシーのリスクに関する知見を提供します。

人間が生成したコードとAIが生成したコードにおけるセキュリティ上の欠陥を未然に防ぐ

静的アプリケーション・セキュリティ・テスト監査自動スキャンと専門家によるソースコード・レビューを組み合わせることで、OWASP Top 10リスクを含む重大な脆弱性を見つけ出します。

ペネトレーション・テスト監査 現実世界の攻撃をシミュレートすることで、外部から内部へとセキュリティを評価し、セキュリティコントロール、ビジネス・ロジック、およびユーザー認証アクセスにおける弱点を明らかにする。

セキュア・デザイン・レビュー監査 アプリケーションエンジニアへのインタビューを通じて、パスワードの保存、IDおよびアクセス管理、暗号化など、コアとなるセキュリティコントロールの設計を評価します。そして、アプリケーションやコードのテストや分析を行うことなく、業界のベストプラクティスと比較することで、弱点、ギャップ、設定ミスを特定します。

技術的負債と将来の保守・開発負担を明らかにする

デザイン品質監査 専門のソフトウェアアーキテクトによる知見と高度な分析を活用して、モジュール性と階層構造を評価します。これにより、ソフトウェアの健全性を明確に把握し、アーキテクチャが保守性に与える影響を明らかにし、コードリファクタリングの潜在的なリスク領域を特定できます。

コード品質監査　静的解析と手動コードレビューを組み合わせることで、人間が生成したコードとAIが生成したコードの品質を評価します。これには、独自コードの品質、再利用性、拡張性、保守性に関する業界ベンチマークとの比較も含まれます。