NEWSkillSec — AI Skill のセキュリティを「マルウェア検知」から「能力監査」へSkillSec詳しく見る →
ホーム/製品/CleanSource SCA
CleanSource · SCA

CleanSource SCA

ソフトウェア構成分析 & オープンソースコンプライアンス

すべてのオープンソースコンポーネントを可視化——オープンソースを安全かつコンプライアントに

特許取得のスニペットレベルエンジンが完全で追跡可能な SBOM を生成し、マルチソースの脆弱性データに対応付け、ライセンスリスクを統制。

特許エンジン
SBOM · dependencies
spring-core5.3.31 ✓
log4j-core2.14.1 · CVE-2021-44228
jackson-databind2.9.10 · review
commons-text1.10.0 ✓
LicenseGPL-3.0 conflict ×1
3T+
コード指紋
320M+
コンポーネント
270K+
脆弱性インテリジェンス
600+
エコシステム
Components · dependencies · vulns — cross-mappedCLEANSOURCE SCA
能力

オープンソースリスクを、完全・正確・追跡可能に可視化

コンポーネント識別からコンプライアンス統制まで——導入・検出・修正・管理の全ライフサイクルを横断。

01

特許取得の探査エンジン

独自の多次元探査技術でプログラムを高速かつ正確に解析。ファイル単位のスキャンはマイクロ秒スケール。

02

スニペットレベル識別

オープンソース構成をコードスニペット単位で識別し、直接・推移的依存の全関係をカバー。

03

SBOM 生成

標準の SPDX または CycloneDX で完全な SBOM を出力。NTIA の最小要素を満たし、サプライチェーンの透明性を高める。

04

マルチソース脆弱性マッピング

CVE、CNVD、CNNVD、EUVD、CSSA に対応付け。ポリシーの優先度と粒度をカスタマイズし、最重要の問題から修正。

05

ライセンスコンプライアンス

ライセンス競合を特定し、SBOM データを構造化された証拠として組み合わせ、コンプライアンスと法的抗弁を支援、IP リスクを低減。

06

コンテナイメージスキャン

ソースを超えてコンテナイメージ層まで拡張し、イメージ内のオープンソースコンポーネントを保護。

精密識別 · スニペットレベル

スニペットレベル指紋照合

コード指紋と膨大なコンポーネントライブラリを精密に照合し、コピー・切り出し・改名されたオープンソース片を識別し、ライセンス改ざんを可視化。

スニペット指紋

関数/スニペットの指紋を生成、宣言されたパッケージ名に依存しない。

精密ヒット

具体的なコンポーネントとバージョンを特定。

改ざん可視化

ライセンスやコードが変更されたコンポーネントを検出。

コードスニペット指紋指紋DB · 命中openssl 1.1.1精密命中zlib 1.2.11lib-x 2.0ライセンス改ざん!
SBOMSPDX · CycloneDXopenssl1.1.1zlib1.2.11log4j-core2.14CVElibpng1.6.37curl7.79
透明・信頼 · 部品表

SBOM 自動生成

スキャンと同時に標準化されたソフトウェア部品表(SPDX / CycloneDX)を生成し、各コンポーネントにバージョン、ライセンス、既知の脆弱性を付記。

標準形式

SPDX / CycloneDX をワンクリックで出力。

逐一追跡可能

コンポーネント、バージョン、ライセンス、依存関係が完全。

脆弱性連携

CVE / CNVD を部品表に直接マッピング。

脆弱性インテリジェンス / CSSA

CSSA 独自インテリジェンス——公開 CVE より数週間先行

CleanSource SCA のマルチソース脆弱性マッピングは CSSA(CleanSource Security Advisory)を基盤とし、上流コミット、メンテナの議論、セキュリティメーリングリスト、パッケージレジストリの挙動からリスクを先行的に検知——脆弱性が公開される前に影響を評価できます。

CVE 公開前の脆弱性検知

上流コミット、メンテナの議論、セキュリティメーリングリストから、公開 CVE / CNVD より数週間早くリスクを捕捉。

汚染インテリジェンス

悪意あるパッケージ注入、タイポスクワッティング、メンテナのアカウント乗っ取りといったサプライチェーン汚染を、表面化した瞬間に検知。

AI サプライチェーン対応

脆弱性と汚染のインテリジェンスを MCP Server と AI Skills のエコシステムへ拡張し、Agent 時代までカバー。

CSSA · 開示タイムライン
D+0 CSSA 独自開示上流コミット · メンテナの動向 · 汚染パターン
D+3 汚染インテリジェンス捕捉悪意ある注入 · タイポスクワッティング · アカウント乗っ取り
D+30+ CVE / NVD 公開他の誰もが気づく頃
連携

SDLC と CI/CD のツールチェーンに組み込む

JenkinsGitLab CIGitHub ActionsパッケージマネージャコンテナプラットフォームAPI / SDKIDE プラグイン
コミュニティ

軽量に始めたい? Community Edition を

OSPO、個人開発者、中小チーム向けに、CleanSource SCA CE は CLI と一部モジュールのソースを公開——登録してすぐ利用可能。

cleansource-ce · CLI
$ cleansource scan ./my-project
› Resolving deps .... 142 components
› Generating SBOM ... spdx · cyclonedx
› Vulns ............ 3 high · 7 medium
› Licenses ......... 1 conflict
✓ Report generated · report.html
その他の製品 / More

製品スイート全体を見る

始める

オープンソースを安全かつコンプライアントに

デモを予約して、CleanSource SCA がサプライチェーンに完全な構成・コンプライアンスビューをもたらす様子をご確認ください。