脆弱性通知&パッチ情報提供サービス

Timesys Vigiles

Timesys Vigiles とは

ソフトウェアの脆弱性は年々増加する傾向にあり、不定期に発生することから、お客様自身でソフトウェアの脆弱性を監視することは現実的ではありません。

Timesys Vigiles は、お客様のソフトウェアプラットフォームに合わせセキュリティ通知と対策情報通知を行うサービスです。自動化されたセキュリティ脆弱性監視と対策パッチ通知により、ソフトウェアセキュリティの維持にかかる時間とコストを大幅に削減します。

Timesys Vigiles の特長

製品に固有の既知のセキュリティ問題(CVE)が発見された場合、お客様に通知します。
脆弱性の修正状況(修正済み、未修正)をお知らせし、修正プログラムへのリンクを提供します。
ソフトウェアのアップデートや対策パッチを選択して適用することができます。

Timesys Vigiles が解決する課題

脆弱性の監視時間の削減

Vigiles は、お客様が CVE の情報を継続的に監視して発見した脆弱性の影響分析を行う負担を大幅に軽減します。
Vigiles を使用すると、ソフトウェアに関連する脆弱性通知をオンデマンドで受け取ることができます。 また、Vigiles は複数の脆弱性フィードからの Timesys が精査したデータを使用しているため、誤検知や CVE の見逃しが少ない監視プロセスと新しい脆弱性の迅速な通知を実現しています。

セキュリティフィックスの制御

脆弱性が修正されたカーネルバージョン情報と対応する対策パッチへのリンクを受け取ることができます。対策パッチを選択して適用することができるので、何を更新するかを決めることができます。

安全性の維持

当社のサービスは、お客様のソフトウェアが悪用される可能性を最小限に抑えます。お客様が脆弱性の特定、評価、対策パッチ/ アップデートを選択して適用することができるので、CVE の脆弱性に迅速かつ効率的に対応することが可能です。

Timesys Vigiles 操作画面例

ソフトウェア BOM (SBOM) の生成と統合

Vigiles は、Yocto、Buildroot、PetaLinux、Wind River Linux、PTXdist、OpenWrt、Timesys Factoryを含むすべての Linux ビルドシステム統合をサポートし、正確な SBOM 生成を実現します。厳選された脆弱性データベースに対する SBOM の自動スキャンにより、CVE レポートが即時に作成されます。

コラボレーション機能

使いやすいコラボレーションツールを使用して、脆弱性の管理と軽減を合理化します。CVE にメモを追加したり、ホワイトリストに登録したりできるようにします。Vigiles を Jira に接続することもできます。

ワンクリックで修復オプションを参照

スキャンされた SBOM で見つかったすべての CVE について、Vigiles は修正があるかどうかを通知し、脆弱性を修正するために必要なパッチ、最小バージョン、および/または構成オプション情報を提供します。

オープンソースの組込みソフトウェアの専門知識を駆使し、お客様のセキュリティ維持に貢献します。

Timesys Vigiles の脆弱性監視および対策パッチ通知サービスをご利用いただくと、最もコスト効率が高い方法で、お客様の組込み Linux ベースの製品の安全性を確保することができます。私たちは、何百ものボード、何千ものプロジェクト、そして Yocto Project、Timesys Factory、Buildroot、PetaLinux 等の多数のビルドシステムと連携してきており、これらの経験は、組込み Linux のセキュリティを向上させるための脆弱性の監視、分析、対応のプロセス全体の合理化を実現してきています。

Timesys Vigiles ラインアップ

Vigiles は、Plus と Prime という2つのバージョンで提供されます。共に高度で時間を節約するトリアージおよび修復機能を含む年間サブスクリプションプランです。

Vigiles Plus

無制限のコンポーネントリストに対応し、CVE のトリアージと軽減のためのコラボレーションツール、高度なフィルタリング、詳細な通知、高度なレポートツールなどをご利用いただけます。

Vigiles Prime

Plus のすべての機能に加えて、独自のパッチ通知および管理機能、識別された CVE に基づく Linux カーネルパッチへのリンク、高度な CVE フィルタリング、および OSS の修正バージョン通知機能をご利用いただけます。

詳細な機能比較表

機能Vigies PlusVigiles Prime
ライセンス体系年間サブスクリプション
ソフトウェアコンポーネントに影響を与える CVE 情報
脆弱性のプッシュ通知
複数のソフトウェア BOM(SBOM)/マニフェストの追跡プロダクトファミリで無制限
Web を介したオンデマンド CVE レポートの生成
コマンドラインによるオンデマンドの CVE レポート生成
重大度、ステータス、およびソフトウェアパッケージ別の CVE サマリー
ビルドシステムのサポート:Yocto、Buildroot、PetaLinux、Wind River Linux、PTXdist、OpenWrt、Timesys Factory
SBOM をアップロードするか、ウェブウィザードを使用した BOM の生成
ソフトウェアライセンス情報 (Yocto と Buildroot のみ)
コンポーネントまたはステータスに基づくフィルタ
Timesys が管理をする CVE データベースから CVE 情報を検索するツールの提供
CVE レポートの履歴とお客様環境における報告された CVE の傾向をプロット
CVE レポートの共有
CVE の早期通知
チームで共有するためのツール
Jira での統合管理による、効率的な脆弱性問題の追跡と管理
特定の問題と CVE の状態の変化を継続的に追跡
ホワイトリスト機能による効率的なレビュー
重大度(CVSS)スコアまたは攻撃ベクトルによるレポートのフィルタリング
SBOM/マニフェストエディタとリビジョン管理
さまざまなファイル形式(CSV、Excel、PDF)でレポートをダウンロード
ビルド/リリース間の変更点の比較(SBOM/マニフェスト差分)
新規と変更された CVE のレポート比較
SBOM を SPDX形 式でエクスポート
カスタム脆弱性スコア/優先順位付けとフィルタリング
利用可能な対策パッチ、緩和策、攻撃プログラムへの参照リンク
Linux カーネル CVE のメインラインカーネル修正コミットへのリンク
カーネルの CVE の修正を含む最小カーネルバージョン
カーネルと U-Boot 設定に基づいたレポートのフィルタリング
OSS の CVE 改善のための提案された修正
クイックスタートプログラムの提供
Vigiles ユーザー(Vigiles Prime トライアルユーザーを含む)は、Vigiles を使い始めるために必要となる準備を Timesys がサポートする「クイックスタート教育プログラム」を無料でご利用頂けます。詳しくはクイックスタート教育プログラムページをご参照ください。

Vigiles Prime 30 日間無料トライアル

Vigiles Prime の 30 日間無料評価をお申込みいただけます。
詳細は 米国 Timesys 社ウェブサイト 評価版申し込みページをご確認ください。

Vigiles Prime 30 日間無料評価 申し込み

Timesys Vigiles についてのよくある質問とその回答

Vigiles について、よくある質問とその回答をご案内いたします。ご質問内容をクリックしていただくと回答が表示されます。

Vigiles は、ソフトウェアへのカスタマイズをソースコードレベルで追跡しません。

CVE パッチを適用する前にドライバを変更する場合は、変更に加えて適用するように CVE パッチを調整する必要があります。したがって、最初に CVE パッチを適用してから、カスタマイズすることをお勧めします。これには、カスタマイズパッチの調整が必要になる可能性があります。

Vigiles は、LinuxBSP のすべてのソフトウェアレイヤーの脆弱性を追跡します。これには、ブートローダー、Linux カーネル、ドライバー、ユーザースペースパッケージ、およびアプリケーションが含まれます。

Vigiles は、コードインジェクションのためのソースコードはスキャンしません。Vigiles は、BSP で使用している個々のソフトウェアパッケージのバージョンと、その上に適用されている対策パッチのリストについて報告します。

したがって、使用しているアプリケーションソフトウェアに対して CVE が報告された場合、Vigiles は情報を提供することができます。ただし、CVE が報告されない自社開発のプロプライエタリアプリケーションを使用している場合、Vigiles は脆弱性情報を提供できません。

Vigiles をご利用頂くターゲットデバイスではインターネット接続の必要はありません。

Vigiles は、ビルドシステム Yocto / Buildroot からパッケージ/バージョン情報を抽出するか、ユーザーがソフトウェア BOMCSV ファイルを生成/ Vigiles にアップロードすることで利用できます。次に、Vigiles は、パッケージ/バージョンのリストを Timesys が取捨選択した脆弱性データベースと比較し、エンドユーザーやユーザーのチームのみがアクセスできる Web レポートを生成します。

現在、Vigiles はホスト型/クラウドのみのソリューションです。インターネットにアクセスせずにネットワーク上に存在できるオンプレミスバージョンの Vigiles は提供していません。ただし、今後オンプレミスバージョンを提供する予定です。

Vigiles は様々なビルドシステムをサポートしています。
Vigiles ではサポートしてるビルドシステムや ソフトウェア BOM (SBOM) を使用すれば脆弱性を追跡することが可能です。

※注意点
Vigiles が追跡できる脆弱性は NVD に報告されている脆弱性となります。お使いの プロセッサ/アーキテクチャのに依存する脆弱性は NVD に報告さていれば検知可能です。

Vigiles は、Yocto、Buildroot、PetaLinux、Wind River Linux、PTXdist、OpenWrt、TimesysFactory などの多数のビルドシステムをサポートしています。また、Vigiles は他のビルドシステムでも使用できます。

Vigiles UI を使用して、Yocto、Buildroot、および Factory からソフトウェアマニフェストをアップロードできます。さらに、Vigiles は .csv 形式をサポートしているため、他のビルドシステムからソフトウェアマニフェストを生成し、アップロード可能な .csv スプレッドシートとして形式化できます。Vigiles .csv マニフェストの作成に関するガイダンスは、HOWTO Create a Vigiles CSV Manifest で提供されます。

Vigiles の「マニフェストの作成」UI を使用して、ソフトウェアマニフェストを完全にオンラインで最初から作成することもできます。

すべてのよくある質問とその回答を見る »

お問い合わせ

Timesys Vigiles について、ご質問・ご相談・お見積り希望がございましたら、リネオソリューションズまでお問い合わせください。

お問い合わせフォーム