🛠️ 開発・MCP コミュニティ

sca-blackduck

Synopsys Black Duckを活用し、オープンソースの脆弱性やライセンス違反リスク、サプライチェーンの脅威を特定し、CVEやCWEなどの情報に基づいて対策を支援することで、ソフトウェアの安全性を確保するSkill。

📜 元の英語説明(参考)

Software Composition Analysis (SCA) using Synopsys Black Duck for identifying open source vulnerabilities, license compliance risks, and supply chain security threats with CVE, CWE, and OWASP framework mapping. Use when: (1) Scanning dependencies for known vulnerabilities and security risks, (2) Analyzing open source license compliance and legal risks, (3) Identifying outdated or unmaintained dependencies, (4) Integrating SCA into CI/CD pipelines for continuous dependency monitoring, (5) Providing remediation guidance for vulnerable dependencies with CVE and CWE mappings, (6) Assessing supply chain security risks and third-party component threats.

🇯🇵 日本人クリエイター向け解説

一言でいうと

※ jpskill.com 編集部が日本のビジネス現場向けに補足した解説です。Skill本体の挙動とは独立した参考情報です。

⚡ おすすめ: コマンド1行でインストール(60秒)

下記のコマンドをコピーしてターミナル(Mac/Linux)または PowerShell(Windows)に貼り付けてください。ダウンロード → 解凍 → 配置まで全自動。

🍎 Mac / 🐧 Linux

mkdir -p ~/.claude/skills && cd ~/.claude/skills && curl -L -o sca-blackduck.zip https://jpskill.com/download/17041.zip && unzip -o sca-blackduck.zip && rm sca-blackduck.zip

🪟 Windows (PowerShell)

$d = "$env:USERPROFILE\.claude\skills"; ni -Force -ItemType Directory $d | Out-Null; iwr https://jpskill.com/download/17041.zip -OutFile "$d\sca-blackduck.zip"; Expand-Archive "$d\sca-blackduck.zip" -DestinationPath $d -Force; ri "$d\sca-blackduck.zip"

完了後、Claude Code を再起動 → 普通に「動画プロンプト作って」のように話しかけるだけで自動発動します。

💾 手動でダウンロードしたい(コマンドが難しい人向け)

1. 下の青いボタンを押して sca-blackduck.zip をダウンロード
2. ZIPファイルをダブルクリックで解凍 → sca-blackduck フォルダができる
3. そのフォルダを C:\Users\あなたの名前\.claude\skills\(Win)または ~/.claude/skills/(Mac)へ移動
4. Claude Code を再起動

⬇ .zip でダウンロード(推奨) ⬇ .skill 形式(上級者用) 元のソース ↗

⚠️ ダウンロード・利用は自己責任でお願いします。当サイトは内容・動作・安全性について責任を負いません。

🎯 このSkillでできること

下記の説明文を読むと、このSkillがあなたに何をしてくれるかが分かります。Claudeにこの分野の依頼をすると、自動で発動します。

📦 インストール方法 (3ステップ)

1. 上の「ダウンロード」ボタンを押して .skill ファイルを取得
2. ファイル名の拡張子を .skill から .zip に変えて展開(macは自動展開可)
3. 展開してできたフォルダを、ホームフォルダの .claude/skills/ に置く
- · macOS / Linux: ~/.claude/skills/
- · Windows: %USERPROFILE%\.claude\skills\

Claude Code を再起動すれば完了。「このSkillを使って…」と話しかけなくても、関連する依頼で自動的に呼び出されます。

詳しい使い方ガイドを見る →

最終更新: 2026-05-18
取得日時: 2026-05-18
同梱ファイル: 14

📖 Skill本文(日本語訳)

※ 原文(英語/中国語)を Gemini で日本語化したものです。Claude 自身は原文を読みます。誤訳がある場合は原文をご確認ください。

Software Composition Analysis with Black Duck

概要

Synopsys Black Duck を使用して包括的な Software Composition Analysis (SCA) を実行し、オープンソースの依存関係におけるセキュリティ脆弱性、ライセンスコンプライアンスのリスク、およびサプライチェーンの脅威を特定します。このスキルは、自動化された依存関係スキャン、CVE マッピングによる脆弱性検出、ライセンスリスク分析、および OWASP および NIST 標準に沿った修復ガイダンスを提供します。

クイックスタート

プロジェクトの依存関係の脆弱性をスキャンします。

# Black Duck Detect の使用 (推奨)
bash <(curl -s -L https://detect.synopsys.com/detect.sh) \
  --blackduck.url=$BLACKDUCK_URL \
  --blackduck.api.token=$BLACKDUCK_TOKEN \
  --detect.project.name="MyProject" \
  --detect.project.version.name="1.0.0"

ポリシー違反の強制によるスキャン:

# ポリシー違反時にビルドを失敗させる
bash <(curl -s -L https://detect.synopsys.com/detect.sh) \
  --blackduck.url=$BLACKDUCK_URL \
  --blackduck.api.token=$BLACKDUCK_TOKEN \
  --detect.policy.check.fail.on.severities=BLOCKER,CRITICAL

コアワークフロー

ワークフロー 1: 初期依存関係セキュリティ評価

進捗状況: [ ] 1. コードベース内のパッケージマネージャーと依存関係マニフェストを特定する [ ] 2. プロジェクト検出で scripts/blackduck_scan.py を実行する [ ] 3. 深刻度 (CRITICAL, HIGH, MEDIUM, LOW) で分類された脆弱性の検出結果を分析する [ ] 4. CVE の検出結果を CWE および OWASP Top 10 カテゴリにマッピングする [ ] 5. ライセンスコンプライアンスのリスクとポリシー違反を確認する [ ] 6. アップグレードの推奨事項を含む優先順位付けされた修復レポートを生成する

各ステップを体系的に進めてください。完了した項目をチェックしてください。

ワークフロー 2: 脆弱性の修復

スキャン結果を確認し、重大度が高い脆弱性を特定します
各脆弱性について:
- 修正バージョンが利用可能かどうかを確認します
- アップグレードパスにおける破壊的な変更を確認します
- 脆弱性固有のガイダンスについては references/remediation_strategies.md を参照してください
パッケージマネージャーを使用して依存関係の更新を適用します
再スキャンして修正を検証します
リスクとして受け入れられた脆弱性とその正当性を文書化します

ワークフロー 3: ライセンスコンプライアンス分析

ライセンスリスク検出を有効にして Black Duck スキャンを実行します
ライセンスコンプライアンスの問題がフラグ付けされたコンポーネントを確認します
リスクレベルで分類します。
- 高リスク: GPL, AGPL (コピーレフトライセンス)
- 中リスク: LGPL, MPL (弱いコピーレフト)
- 低リスク: Apache, MIT, BSD (寛容)
高リスクのライセンス違反については法務部門に相談してください
ライセンスに関する決定を文書化し、承認された場合はポリシー例外を作成します

ワークフロー 4: CI/CD 統合

assets/ci_integration/ を使用して Black Duck Detect を CI/CD パイプラインに追加します
Black Duck の URL と API トークンの環境変数を構成します
ポリシーのしきい値を設定します (CRITICAL/HIGH の脆弱性で失敗)
サプライチェーンの透明性のために SBOM の生成を有効にします
本番環境の依存関係における新しい脆弱性のアラートを構成します

ワークフロー 5: サプライチェーンリスク評価

直接および推移的な依存関係を特定します
コンポーネントの品質メトリクスを分析します。
- メンテナンスアクティビティ (最終更新日、コミット頻度)
- コミュニティの健全性 (貢献者、問題解決)
- セキュリティトラックレコード (過去の CVE)
高リスクコンポーネント (メンテナンスされていない、メンテナが少ない、セキュリティの問題) にフラグを立てます
より優れたセキュリティ体制を備えた代替コンポーネントを確認します
サプライチェーンのリスクと軽減戦略を文書化します

セキュリティに関する考慮事項

機密データの取り扱い: Black Duck スキャンには、読み取り/書き込みアクセス権を持つ API トークンが必要です。資格情報をシークレット管理 (Vault, AWS Secrets Manager) に安全に保管します。トークンをバージョン管理にコミットしないでください。
アクセス制御: Black Duck へのアクセスを承認されたセキュリティチームおよび開発チームに制限します。スキャン結果の可視性とポリシー管理には、ロールベースのアクセス制御 (RBAC) を使用します。
監査ログ: タイムスタンプ、ユーザー、プロジェクトバージョン、およびコンプライアンス監査のための検出結果数を含むすべてのスキャン実行をログに記録します。 Black Duck の組み込み監査証跡を有効にします。
コンプライアンス: SCA スキャンは、サードパーティコンポーネントのリスクを追跡することにより、SOC2、PCI-DSS、GDPR、および HIPAA コンプライアンスをサポートします。規制要件のために SBOM を生成します。
安全なデフォルト: CRITICAL および HIGH の重大度の脆弱性でビルドが失敗するようにポリシーを構成します。ドキュメント化されたビジネス上の正当性に基づいて、許可リストを控えめに使用します。

サポートされているパッケージマネージャー

Black Duck Detect は、以下を自動的に識別してスキャンします。

JavaScript/Node: npm, yarn, pnpm
Python: pip, pipenv, poetry
Java: Maven, Gradle
Ruby: Bundler, gem
.NET: NuGet
Go: go modules
PHP: Composer
Rust: Cargo
C/C++: Conan, vcpkg
Docker: コンテナイメージレイヤー

バンドルされたリソース

スクリプト

scripts/blackduck_scan.py - CVE/CWE マッピングとレポート作成を備えたフル機能のスキャン
scripts/analyze_results.py - Black Duck の結果を解析し、修復レポートを生成します
scripts/sbom_generator.sh - スキャン結果から SBOM (CycloneDX/SPDX) を生成します
scripts/policy_checker.py - 組織のセキュリティポリシーとのコンプライアンスを検証します

参考文献

references/cve_cwe_owasp_mapping.md - CVE から CWE および OWASP Top 10 へのマッピング
references/remediation_strategies.md - 脆弱性の修復パターンとアップグレード戦略
references/license_risk_guide.md - ライセンスコンプライアンスのリスク評価と法的ガイダンス
references/supply_chain_threats.md - 一般的なサプライチェーン攻撃パターンと軽減策

アセット

assets/ci_integration/github_actions.yml - Black Duck スキャン用の GitHub Actions ワークフロー
assets/ci_integration/gitlab_ci.yml - SCA 用の GitLab CI 構成
assets/ci_integration/jenkins_pipeline.groovy - Black Duck 統合を備えた Jenkins パイプライン
assets/policy_templates/ - 事前構成されたセキュリティおよびコンプライアンスポリシー
assets/blackduck_config.yml - 推奨される Black Duck Detect 構成

一般的なパターン

パターン 1: 毎日の依存関係セキュリティベースライン


#

(原文がここで切り詰められています)

📜 原文 SKILL.md(Claudeが読む英語/中国語)を展開

Software Composition Analysis with Black Duck

Overview

Perform comprehensive Software Composition Analysis (SCA) using Synopsys Black Duck to identify security vulnerabilities, license compliance risks, and supply chain threats in open source dependencies. This skill provides automated dependency scanning, vulnerability detection with CVE mapping, license risk analysis, and remediation guidance aligned with OWASP and NIST standards.

Quick Start

Scan a project for dependency vulnerabilities:

# Using Black Duck Detect (recommended)
bash <(curl -s -L https://detect.synopsys.com/detect.sh) \
  --blackduck.url=$BLACKDUCK_URL \
  --blackduck.api.token=$BLACKDUCK_TOKEN \
  --detect.project.name="MyProject" \
  --detect.project.version.name="1.0.0"

Scan with policy violation enforcement:

# Fail build on policy violations
bash <(curl -s -L https://detect.synopsys.com/detect.sh) \
  --blackduck.url=$BLACKDUCK_URL \
  --blackduck.api.token=$BLACKDUCK_TOKEN \
  --detect.policy.check.fail.on.severities=BLOCKER,CRITICAL

Core Workflows

Workflow 1: Initial Dependency Security Assessment

Progress: [ ] 1. Identify package managers and dependency manifests in codebase [ ] 2. Run scripts/blackduck_scan.py with project detection [ ] 3. Analyze vulnerability findings categorized by severity (CRITICAL, HIGH, MEDIUM, LOW) [ ] 4. Map CVE findings to CWE and OWASP Top 10 categories [ ] 5. Review license compliance risks and policy violations [ ] 6. Generate prioritized remediation report with upgrade recommendations

Work through each step systematically. Check off completed items.

Workflow 2: Vulnerability Remediation

Review scan results and identify critical/high severity vulnerabilities
For each vulnerability:
- Check if fixed version is available
- Review breaking changes in upgrade path
- Consult references/remediation_strategies.md for vulnerability-specific guidance
Apply dependency updates using package manager
Re-scan to validate fixes
Document any vulnerabilities accepted as risk with justification

Workflow 3: License Compliance Analysis

Run Black Duck scan with license risk detection enabled
Review components flagged with license compliance issues
Categorize by risk level:
- High Risk: GPL, AGPL (copyleft licenses)
- Medium Risk: LGPL, MPL (weak copyleft)
- Low Risk: Apache, MIT, BSD (permissive)
Consult legal team for high-risk license violations
Document license decisions and create policy exceptions if approved

Workflow 4: CI/CD Integration

Add Black Duck Detect to CI/CD pipeline using assets/ci_integration/
Configure environment variables for Black Duck URL and API token
Set policy thresholds (fail on CRITICAL/HIGH vulnerabilities)
Enable SBOM generation for supply chain transparency
Configure alerts for new vulnerabilities in production dependencies

Workflow 5: Supply Chain Risk Assessment

Identify direct and transitive dependencies
Analyze component quality metrics:
- Maintenance activity (last update, commit frequency)
- Community health (contributors, issue resolution)
- Security track record (historical CVEs)
Flag high-risk components (unmaintained, few maintainers, security issues)
Review alternative components with better security posture
Document supply chain risks and mitigation strategies

Security Considerations

Sensitive Data Handling: Black Duck scans require API tokens with read/write access. Store credentials securely in secrets management (Vault, AWS Secrets Manager). Never commit tokens to version control.
Access Control: Limit Black Duck access to authorized security and development teams. Use role-based access control (RBAC) for scan result visibility and policy management.
Audit Logging: Log all scan executions with timestamps, user, project version, and findings count for compliance auditing. Enable Black Duck's built-in audit trail.
Compliance: SCA scanning supports SOC2, PCI-DSS, GDPR, and HIPAA compliance by tracking third-party component risks. Generate SBOM for regulatory requirements.
Safe Defaults: Configure policies to fail builds on CRITICAL and HIGH severity vulnerabilities. Use allowlists sparingly with documented business justification.

Supported Package Managers

Black Duck Detect automatically identifies and scans:

JavaScript/Node: npm, yarn, pnpm
Python: pip, pipenv, poetry
Java: Maven, Gradle
Ruby: Bundler, gem
.NET: NuGet
Go: go modules
PHP: Composer
Rust: Cargo
C/C++: Conan, vcpkg
Docker: Container image layers

Bundled Resources

Scripts

scripts/blackduck_scan.py - Full-featured scanning with CVE/CWE mapping and reporting
scripts/analyze_results.py - Parse Black Duck results and generate remediation report
scripts/sbom_generator.sh - Generate SBOM (CycloneDX/SPDX) from scan results
scripts/policy_checker.py - Validate compliance with organizational security policies

References

references/cve_cwe_owasp_mapping.md - CVE to CWE and OWASP Top 10 mapping
references/remediation_strategies.md - Vulnerability remediation patterns and upgrade strategies
references/license_risk_guide.md - License compliance risk assessment and legal guidance
references/supply_chain_threats.md - Common supply chain attack patterns and mitigations

Assets

assets/ci_integration/github_actions.yml - GitHub Actions workflow for Black Duck scanning
assets/ci_integration/gitlab_ci.yml - GitLab CI configuration for SCA
assets/ci_integration/jenkins_pipeline.groovy - Jenkins pipeline with Black Duck integration
assets/policy_templates/ - Pre-configured security and compliance policies
assets/blackduck_config.yml - Recommended Black Duck Detect configuration

Common Patterns

Pattern 1: Daily Dependency Security Baseline

# Run comprehensive scan and generate SBOM
scripts/blackduck_scan.py \
  --project "MyApp" \
  --version "1.0.0" \
  --output results.json \
  --generate-sbom \
  --severity CRITICAL HIGH

Pattern 2: Pull Request Dependency Gate

# Scan PR changes, fail on new high-severity vulnerabilities
bash <(curl -s -L https://detect.synopsys.com/detect.sh) \
  --blackduck.url=$BLACKDUCK_URL \
  --blackduck.api.token=$BLACKDUCK_TOKEN \
  --detect.policy.check.fail.on.severities=CRITICAL,HIGH \
  --detect.wait.for.results=true

Pattern 3: License Compliance Audit

# Generate license compliance report
scripts/blackduck_scan.py \
  --project "MyApp" \
  --version "1.0.0" \
  --report-type license \
  --output license-report.pdf

Pattern 4: Vulnerability Research and Triage

# Extract CVE details and remediation guidance
scripts/analyze_results.py \
  --input scan-results.json \
  --filter-severity CRITICAL HIGH \
  --include-remediation \
  --output vulnerability-report.md

Pattern 5: SBOM Generation for Compliance

# Generate Software Bill of Materials (CycloneDX format)
scripts/sbom_generator.sh \
  --project "MyApp" \
  --version "1.0.0" \
  --format cyclonedx \
  --output sbom.json

Integration Points

CI/CD Integration

GitHub Actions: Use synopsys-sig/detect-action@v1 with policy enforcement
GitLab CI: Run as security scanning job with dependency scanning template
Jenkins: Execute Detect as pipeline step with quality gates
Azure DevOps: Integrate using Black Duck extension from marketplace

See assets/ci_integration/ for ready-to-use pipeline configurations.

Security Tool Integration

SIEM/SOAR: Export findings in JSON/CSV for ingestion into Splunk, ELK
Vulnerability Management: Integrate with Jira, ServiceNow, DefectDojo
Secret Scanning: Combine with Gitleaks, TruffleHog for comprehensive security
SAST Tools: Use alongside Semgrep, Bandit for defense-in-depth

SDLC Integration

Requirements Phase: Define acceptable license and vulnerability policies
Development: IDE plugins provide real-time dependency security feedback
Code Review: Automated dependency review in PR workflow
Testing: Validate security of third-party components
Deployment: Final dependency gate before production release
Operations: Continuous monitoring for new vulnerabilities in production

Severity Classification

Black Duck classifies vulnerabilities by CVSS score and severity:

CRITICAL (CVSS 9.0-10.0): Remotely exploitable with severe impact (RCE, SQLi)
HIGH (CVSS 7.0-8.9): Significant security risks requiring immediate attention
MEDIUM (CVSS 4.0-6.9): Moderate security weaknesses needing remediation
LOW (CVSS 0.1-3.9): Minor security issues or defense-in-depth improvements
NONE (CVSS 0.0): Informational findings

Policy Management

Creating Security Policies

Define organizational risk thresholds (e.g., fail on CVSS >= 7.0)
Configure license compliance rules using assets/policy_templates/
Set component usage policies (blocklists for known malicious packages)
Enable operational risk policies (unmaintained dependencies, age thresholds)
Document policy exceptions with business justification and expiration dates

Policy Enforcement

# Enforce custom policy during scan
bash <(curl -s -L https://detect.synopsys.com/detect.sh) \
  --blackduck.url=$BLACKDUCK_URL \
  --blackduck.api.token=$BLACKDUCK_TOKEN \
  --detect.policy.check.fail.on.severities=BLOCKER,CRITICAL \
  --detect.wait.for.results=true

Performance Optimization

For large projects with many dependencies:

# Use intelligent scan mode (incremental)
bash <(curl -s -L https://detect.synopsys.com/detect.sh) \
  --detect.detector.search.depth=3 \
  --detect.blackduck.signature.scanner.snippet.matching=SNIPPET_MATCHING \
  --detect.parallel.processors=4

# Exclude test and development dependencies
bash <(curl -s -L https://detect.synopsys.com/detect.sh) \
  --detect.excluded.detector.types=PIP,NPM_PACKAGE_LOCK \
  --detect.npm.include.dev.dependencies=false

Troubleshooting

Issue: Too Many False Positives

Solution:

Review vulnerability applicability (is vulnerable code path used?)
Use vulnerability suppression with documented justification
Configure component matching precision in Black Duck settings
Verify component identification accuracy (check for misidentified packages)

Issue: License Compliance Violations

Solution:

Review component licenses in Black Duck dashboard
Consult references/license_risk_guide.md for risk assessment
Replace high-risk licensed components with permissive alternatives
Obtain legal approval and document policy exceptions

Issue: Scan Not Detecting Dependencies

Solution:

Verify package manager files are present (package.json, requirements.txt, pom.xml)
Check Black Duck Detect logs for detector failures
Ensure dependencies are installed before scanning (run npm install, pip install)
Use --detect.detector.search.depth to increase search depth

Issue: Slow Scan Performance

Solution:

Use snippet matching instead of full file matching
Increase --detect.parallel.processors for multi-core systems
Exclude test directories and development dependencies
Use intelligent/rapid scan mode for faster feedback

Advanced Usage

Vulnerability Analysis

For detailed vulnerability research, consult references/remediation_strategies.md.

Key remediation strategies:

Upgrade: Update to fixed version (preferred)
Patch: Apply security patch if upgrade not feasible
Replace: Switch to alternative component without vulnerability
Mitigate: Implement workarounds or compensating controls
Accept: Document risk acceptance with business justification

Supply Chain Security

See references/supply_chain_threats.md for comprehensive coverage of:

Dependency confusion attacks
Typosquatting and malicious packages
Compromised maintainer accounts
Backdoored dependencies
Unmaintained and abandoned projects

SBOM Generation and Management

Black Duck supports standard SBOM formats:

CycloneDX: Modern, machine-readable format for vulnerability management
SPDX: ISO/IEC standard for software package data exchange

Use SBOMs for:

Supply chain transparency
Regulatory compliance (Executive Order 14028)
Incident response (rapid vulnerability identification)
M&A due diligence

Best Practices

Shift Left: Integrate SCA early in development lifecycle
Policy-Driven: Define clear policies for vulnerabilities and licenses
Continuous Monitoring: Run scans on every commit and nightly for production
Remediation Prioritization: Focus on exploitable vulnerabilities first
SBOM Management: Maintain up-to-date SBOM for all production applications
Supply Chain Hygiene: Regularly review dependency health and maintainability
License Compliance: Establish license approval process before adoption
Defense in Depth: Combine SCA with SAST, DAST, and security testing

References

同梱ファイル

※ ZIPに含まれるファイル一覧。`SKILL.md` 本体に加え、参考資料・サンプル・スクリプトが入っている場合があります。

📄 SKILL.md (14,965 bytes)
📎 assets/blackduck_config.yml (4,584 bytes)
📎 assets/ci_integration/github_actions.yml (5,239 bytes)
📎 assets/ci_integration/gitlab_ci.yml (6,043 bytes)
📎 assets/ci_integration/jenkins_pipeline.groovy (11,350 bytes)
📎 assets/ci-config-template.yml (11,105 bytes)
📎 assets/policy_templates/security_policy.json (4,644 bytes)
📎 assets/rule-template.yaml (11,044 bytes)
📎 references/cve_cwe_owasp_mapping.md (9,475 bytes)
📎 references/EXAMPLE.md (15,672 bytes)
📎 references/license_risk_guide.md (12,725 bytes)
📎 references/remediation_strategies.md (13,491 bytes)
📎 references/supply_chain_threats.md (16,454 bytes)
📎 references/WORKFLOW_CHECKLIST.md (8,390 bytes)