ライフサイクル全体で、組込みLinuxプラットフォームのセキュリティを確保
プロジェクトに影響を及ぼす既知の脆弱性の継続的な監視とリスクを緩和するため、開発からデプロイ、運用期間を通したエンジニアリングリソースの確保と投資にどう対応しますか?
コードスキャンを実施してCVEやライセンスコンプライアンスの問題を特定できれば、法的責任が生じる前にリスクを洗い出すことができます。コードに影響を及ぼす深刻かつ高リスクな脆弱性は必ず修正しなければなりません。また、新しい脆弱性は日々特定されているため、継続的なCVEモニタリング、優先順位付け、および緩和が必要です。ウインドリバーはソフトウェアの開発からデプロイまでのライフサイクル全体にわたって、組込みLinuxプラットフォームの共通脆弱性識別子(CVE)を継続的に監視、緩和、管理します。
サービス内容
継続的なセキュリティ監視
組込みLinuxプラットフォームの健全性を予見的かつ継続的に監視し、新たなCVEが公開される都度、すみやかにアラートを送信します。NISTやYocto Projectなどの公開ソースおよびMITRE社のCVEデータベースから収集したCVE情報を精査し、分類した当社のナレッジベースを活用ください。
- お客様のプラットフォームをフルスキャンし、当社の豊富なデータベースと比較することで潜在的な脆弱性を正確に特定し、当社エンジニアがお客様のプラットフォームへの影響度を深く分析
- Linuxプラットフォーム(カーネル、BSP、共有ライブラリ、ユーザーライブラリ)のセキュリティスキャン
- お客様のLinuxプラットフォーム上で未対応のCVEを特定した詳細なセキュリティレポートの提供
ライセンス使用状況の確認
お客様の組込みLinuxプラットフォームをスキャンし、ご利用中の全ライセンスと推移的依存性に基づいて分類一覧化した詳細レポートをご提供します。
- Linuxプラットフォーム(カーネル、BSP、共有ライブラリ、ユーザーライブラリ)のセキュリティスキャン
- プラットフォームで使用されているすべてのライセンスをスキャンし、その許容性、コピーレフト、互換性、および推移的依存性に基づいて分類
- お客様のLinuxプラットフォーム上で使用されている全ライセンスを一覧化した詳細レポートの提供
- ライセンス準拠違反を解消するための是正策導入サービス
協働トリアージとアセスメント
当社チームと連携し、共通脆弱性評価システム(CVSS)の閾値、影響の深刻度 、攻撃および防御の難度をもとに脆弱性をいち早く特定して優先度別に分類します 。高優先CVEに対処するための緩和計画を提案します。
- お客様のLinuxプラットフォーム上で未対応のCVEを特定した詳細なセキュリティレポートの提供
- 新たに特定されたCVSSv3が7以上のCriticalおよびHighに分類されるCVEに対する修正
- オンラインサポートよりMediumおよびLowのCVE(CVSSv3 < 7)の修正依頼が可能
- 当社エンジニアへのレビュー依頼にも迅速に対応
- プロジェクトに精通したエンジニアによるサポートをご希望のお客様向けにはプレミアムサポートオプションを用意
CVEの緩和
お客様のLinuxプラットフォームに存在するCVEの影響度をウインドリバーのエンジニアチームにて詳細分析し、修正オプションや修正タイミングの優先順位付けを支援します。コミュニティに公開されているパッチをお客様のコードに適用する際は、あらかじめ当社にてバックポート、妥当性確認、検証を行います。コミュニティベースのソリューションが利用できない場合は、お客様側の開発チームと連携し、技術的ソリューションを考案します。
- CVSSv3が7以上のCriticalおよびHighに分類されるCVEに対する修正
- MediumおよびLowのCVEについては、お客様と協働で優先度別に分類
- CriticalのCVEについては緊急パッチをリリース
- それ以外のCVEについては、四半期ごとにパッチをリリース
- CVEに関する技術的負債を解消するための修正パッケージをご提供
品質へのこだわり
お客様環境におけるLinuxプラットフォームの品質と安定性を確保します。修正対策はすべて、当社の継続的インテグレーション(CI)パイプラインに展開し、開発期間全体にわたる 夜間/週次/月次のビルド・テスト プロセスに反映します 。修正やテストを実施し、リリースが完了した時点で、プロジェクト検証時の参考材料となるソフトウェア部品表およびドキュメントを当社にて作成します。
- パッチやカスタムソリューションを適用してプラットフォームを改変する場合は必ず 、適用前に妥当性確認と検証を行った後に再デプロイを実行
- 当社のCIパイプラインを活用した夜間ビルド・テストプロセスにより、高品質を確保
- CriticalのCVEには緊急パッチを、それ以外のCVEには四半期ごとにパッチをリリース
ソフトウェア部品表およびリリースドキュメント
コード改変の都度、ソフトウェア部品表を新たに作成します。
- 修正パッチのリリース状況や進捗状況を追跡管理するためのオンラインダッシュボードとレポート
- 修正済のCVEをリリースノートに記録
コミュニティへのアップストリーム
ウインドリバーはお客様のパートナーとしてお客様の声をYocto Projectに反映します。
お客様に代わって修正やエンジニアによる解決策をコミュニティにアップストリームすることでコミュニティの活動に貢献します。
グローバルサポート
グローバルなエキスパートチームがお客様のLinuxプラットフォームをサポートします。その他のサポートオプションもご利用いただけます。
» ウインドリバーのサポートに関する受賞歴と評価
- 修正期間中は随時、オンラインサポートポータル経由でチケットを申請していただけます
- ウインドリバーのエンジニアによるレビューで、タイムリーな対応を実現
- プロジェクトに精通した専任エンジニアによるサポートをご希望のお客様向けにはプレミアムサポートオプションを用意
グローバルサポートセンター
- North America
- Ottowa, Canada
- Dublin, OH
- Alameda, CA
- Detroit, MI
- Costa Rica
- South America
- Cordoba, Argentina
- (C/E Services Only)
- Europe
- Stockholm, Sweden
- Paris, France
- Munich, Germany
- Galati, Romania
- China
- Chengdu, China
- Beijing, China
- Korea
- Seoul, Korea
- Japan
- Tokyo, Japan
オープンソースを推進するリーダーとしての技術的専門知識
ウインドリバーはLinux Foundation傘下のYocto Project創設メンバーであり、複数の主要なコンポーネントに対する開発やメンテナンスに携わっており、トップコントリビュータ/メンテナーとして大きく貢献しています。
» Yocto Projectについて詳しく知る
- リーディングコントリビューターとして、過去5年にわたりYocto Projectに多くのコードをコミット
- 最近ではセキュリティ対応ツールの提供を通じて、Yocto Projectに貢献
- コミュニティにおけるプロジェクトガバナンスと活動支持の確かな実績
関連ブログ
試作からデプロイ後の保守管理まで:Linuxベースの開発で重要な判断ポイント
組込み業界では、Linux製品のライフサイクルは5年、10年、あるいは15年以上に及ぶこともあります。現在および今後の決断次第では、今後何年にもわたって製品のスピード、品質、リソースに影響を与えることになります。また、技術的負債を生み出し、将来のスケーラビリティ、収益性、プロジェクト全体の成功に直接影響を与える可能性があります。
≫ 続きを読む