Stay Secure: Timesys’ Security Vulnerability and Patch Notification Service

確実なセキュリティ:Timesysのセキュリティ脆弱性&パッチ通知サービス

Security notification tailored to your software platform + Patch/upgrade = Peace of mind

ソフトウェアプラットフォームに合わせたセキュリティ通知+パッチ/アップグレードが不安を解消

情報セキュリティの脆弱性の増加と、その発見が予測不可能であることから、お客様のデバイスソフトウェアに新たに発見される脆弱性に逐一手動で対応することは現実的ではありません。 Timesysの自動化されたセキュリティ脆弱性&パッチ通知サービスは、ソフトウェアのセキュリティ維持に関する時間とコストを削減します。

Timesys Security Vulnerability and Patch Notification Serviceのしくみ

Timesys help you stay secure

Timesysの脅威耐性セキュリティ技術 (TRST) チーム

Security Vulnerability and Patch Notification Service(以降はSVPNと略記します)の中核をなすのは、お客様が使用するオープンソースソフトウェアに影響を与えるセキュリティの問題を絶えずモニターし、Timesys CVE managerとrepositoryをアップデートする組み込みLinuxエンジニアチームです。
 

How It Works

discover and identify vulnerabilities

1. 発見と特定

Timesys TRSTチームは、Timesysが管理するCommon Vulnerabilities and Exposures(CVE)managerを使いてnvd.nist.govおよびセキュリティメーリングリストから情報を収集し、Timesys source code repository内のコードに関連するセキュリティ問題を特定します。

analyze cve state

2. 分析

脆弱性の状態(利用可能なパッチまたはアップデートが存在するか否か)を分析します。

add security updates

3. 更新とパッチ

Timesys source code repository内のコードに、meta-timesys-securityなどの利用可能なセキュリティ更新プログラムとパッチを追加します。

Security Vulnerability Notification Service (セキュリティ脆弱性通知サービス)

TimesysのSecurity Vulnerability Notificationは、お客様の製品に固有の既知のセキュリティ問題(CVE)を検出します。 検出結果の通知には、構築された各ソフトウェアコンポーネントの一意のバージョンに対する修正済みおよび未修正のCVEが含まれます。
 

How It Works

get security notification

4. 通知の取得

TimesysのYocto Project CafeまたはFactoryデスクトップ開発環境でセキュリティの問題がお客様のプロジェクトに影響を及ぼすか否かを判断するには、checkcvesコマンドを実行して通知を取得します。

また、TimesysのWeb開発環境にworkorderやmanifestを保管し、それぞれにプッシュ通知を受け取るオプションがあります。

Patch Notification Service (パッチ通知サービス)

TimesysのPatch Notification Serviceは、セキュリティ更新プログラムやパッチを発見しソフトウェアに適用するプロセスを簡素化します。 本パッチ通知サービスでは、修正プログラムを選択的に適用し、更新するものを制御・掌握することができます。
 

How It Works

get security patch

5. パッチの入手

meta-timesys-securityレイヤーを追加または更新します。(Yoctoの最新および2つ前までのバージョンで利用可能なセキュリティアップデートとパッチがmeta-timesys-securityに継続的に追加されていきます。)

apply security patch

6. パッチの適用

どのCVEを修正するかを決め、含めるパッチを選択してレシピ(.bbappend)を構成します。

Timesys Security Vulnerability and Patch Notification Service

セキュリティの脅威を止めることはできません。
しかし、お客様のオープンソースの組み込みソフトウェアの脆弱性を管理するツールにより、安全を確保できます。
 

煩わしい作業は一切不要

CVEのモニターに時間を費やす必要はありません。TRSTチームがお客様のためのTimesys CVE manager databaseを管理します。

ノイズを除去

膨大な脆弱性情報の中から、お客様固有のオープンソースソフトウェアに関連する脆弱性の情報のみを選んで通知します。

必要に応じた通知

通知を受け取るタイミングは、お客様自身で決めることができます。

CVEの詳細に簡単にアクセス

既知のCVEの詳細情報に、コマンドライン経由でもWeb経由でも直接アクセスできるリンクを提供します。

脆弱性の影響を常に把握

すべてのビルドについて脆弱性通知を受け取ることができます。

変更を難なく追跡

すべてのコンフィギュレーションのレポート履歴が1か所にまとまっているため、新たに発見されたCVEや修正されたCVEなど、変更内容を容易に確認できます。

修正プログラムの入手が容易

TRSTチームが利用可能なアップデートとパッチを追加したmeta-timesys-securityレイヤーの追加または更新により、修正プログラムを簡単に探すことができます。

主導権を握る

Patch Notification Service では、パッチを選択的に適用し、お客様自身が更新内容を決定できます。

Security Vulnerability and Patch Notification Serviceについての詳細をご希望の場合はお問い合わせください。開発期間の短縮とライフサイクル管理コストの削減を可能にするTimesys/リネオのソリューションがお客様の開発をより安全かつ最新にする方法について、より多くの情報をお届けします。
お問い合せ 03-5367-9098 もしくは sales@lineo.co.jp

さらに詳しくはTimesysのRelated Resourcesを参照ください。