Trace-AI

概要

Trace-AI by Zerberusは、開発チームが自分たちが何を出荷しているのか正確に把握し、依存するものを信頼できるよう設計された強力なオープンソースプラットフォームです。リポジトリからリアルタイムにSoftware Bill of Materials（SBOM）を自動生成し、直接依存および間接依存の両方を継続的に追跡します。また、エクスプロイト対応の脆弱性スキャンとライセンス適合性チェックを組み合わせて提供します。GitHubやGitLabのCIワークフローに直接統合することで、Trace-AIは開発者にソースコードを公開することなく、ソフトウェアリスクを明確かつ正確に可視化・管理する力を与えます。

Trace-AIの透明性が高く監査可能なモデル（ZSBOM）は、サプライチェーンのセキュリティに高い信頼をもたらします。プロジェクトを継続的に監視し、動的な脆弱性ダッシュボード、エクスプロイト状況に応じたリスクスコアリング、APIからSLAまでのベンダー可視性を提供します。また、GPLファミリーなどの複雑なオープンソースライセンスを即座に特定し、ISO 27001やSOC 2といった主要なセキュリティフレームワークにリスクをマッピングすることで、コンプライアンスも簡素化します。

エンタープライズ向けの出荷でも、オープンソースプロジェクトの管理でも、Trace-AIは実践的で監査対応可能なSBOMレポートとコンプライアンス証拠を提供し、脆弱性管理やライセンス監査、ベンダーリスクモニタリングをシンプルかつ開発者フレンドリーにします。

主な特徴

• リアルタイムSBOM生成: CIパイプラインから直接、CycloneDXおよびSPDX形式の正確なSBOMを自動生成し、間接依存も含め継続的に更新。
• エクスプロイト対応の脆弱性スキャン: 複数の脅威インテリジェンスソースを統合し、実際に悪用されている脆弱性に優先順位を付け、雑音となるCVE情報を排除。
• ライセンスコンプライアンス管理: GPL、LGPLなどのコピーレフトライセンスを瞬時に特定し、監査や企業レビュー時のトラブルを防止。
• ベンダー＆API可視化: 依存関係と共にAPI、SDK、SLAの期限切れや違反履歴を追跡し、包括的なリスク把握を実現。
• 脆弱性ダッシュボード: 重大、高、中、低リスクの脆弱性を重要度タグや直接・間接依存の文脈付きで可視化。
• オープンソースの透明性: ZSBOMの分類ロジック、設定、ポリシーは完全に公開・編集可能で、GitHubのコミュニティ主導による開発。
• 監査対応レポート: CycloneDX、SPDX、JSONなど複数形式でSBOMやスキャン結果をエクスポートし、規制や監査要件に対応。
• 幅広いエコシステム対応: npm/yarn、pip、Maven/Gradle、Goモジュール、RubyGems、NuGet、Cargoなど主要なパッケージマネージャとプログラミング言語をサポート。
• 柔軟な価格設定: 最大5リポジトリまでは無料、スケールに合わせたシンプルで予測可能な料金体系。

利用ケース

• エンタープライズDevSecOps: ソフトウェア出荷前にCIパイプラインにTrace-AIを組み込み、継続的な脆弱性評価とライセンス適合性チェックを実現。
• サプライチェーンセキュリティ: ソフトウェアコンポーネントのエクスプロイト可能性、ライセンス、ベンダーヘルスなどのリスクを可視化。
• コンプライアンス＆監査: ISO 27001、SOC 2、PCI-DSS、HIPAA、GDPRなどに対応した正確で監査対応可能なSBOMおよびコンプライアンス証拠を生成。
• オープンソースプロジェクト管理: 依存関係の透明性とセキュリティを維持しつつ、コミュニティ貢献を促進するオープンソースSBOMソリューション。
• ベンダーリスクモニタリング: サードパーティAPIのSLA、違反履歴、SDKバージョンを追跡し、外部サプライチェーンの脅威を軽減。

よくある質問

SBOMとは何ですか？なぜ必要ですか？
SBOM（Software Bill of Materials）はソフトウェアの全コンポーネントの一覧表です。セキュリティ体制の理解、脆弱性管理、規制遵守のために不可欠であり、特に増加するサプライチェーンリスクに対処するために重要です。

エクスプロイト対応スキャンは従来のCVEスキャンとどう違いますか？
従来のスキャナーはすべてのCVEを報告し、アラート疲労を引き起こします。Trace-AIのエクスプロイト対応スキャンは、実際に悪用されている脆弱性のみを対象にしてノイズを削減し、優先的な対策を可能にします。

対応言語やパッケージマネージャは？
npm/yarn（JavaScript）、pip（Python）、Maven/Gradle（Java）、Goモジュール、RubyGems、NuGet（.NET）、Cargo（Rust）など主要なエコシステムをサポートし、対応範囲は拡大中です。

コードやデータの安全性はどうですか？
Trace-AIは依存関係のマニフェストとロックファイルのみを解析し、ソースコードは一切分析しません。データは保存時および通信時に暗号化され、ZSBOMはローカル環境で完全に制御可能です。

ZSBOMは他のSBOMツールとどう違いますか？
ZSBOMは完全にオープンソースで監査可能です。ブラックボックス型ではなく分類ロジック、ポリシー、リスクスコアリングが透明でカスタマイズ可能。正確性、エクスプロイト対応、開発者の使いやすさに注力しています。

対応するコンプライアンスフレームワークは？
Trace-AIのポリシーコードライブラリはISO 27001、SOC 2、PCI-DSS、HIPAA、GDPRなどをサポートし、自組織のニーズに合わせてフォークやカスタマイズが可能です。

価格体系は？
最大5リポジトリまでは無料で利用可能で、スケールに応じてリポジトリ単位のシンプルで予測可能な料金体系を採用。開始時にクレジットカードは不要です。

Trace-AIにより、開発チームはソフトウェア依存関係とリスクを完全かつ透明に継続的に把握でき、より安全でコンプライアンスに適合したソフトウェア提供が現代のDevOpsに不可欠な要素となります。