弱點管理解決方案「FutureVuls」新增高風險開源軟體檢測與評估功能
Key facts
- 弱點管理解決方案「FutureVuls」新增高風險開源軟體檢測與評估功能
- 未來公司宣布,其弱點管理解決方案「FutureVuls」於2026年6月3日起新增「軟體健康度」等功能,可透過客觀指標評估開源軟體(OSS)的健全性,強化軟體供應鏈整體的風險管理能力。
- Source: PR Times
- Date: 2026年6月17日
Direct answer
未來公司宣布,其弱點管理解決方案「FutureVuls」於2026年6月3日起新增「軟體健康度」等功能,可透過客觀指標評估開源軟體(OSS)的健全性,強化軟體供應鏈整體的風險管理能力。
- Citation
- 弱點管理解決方案「FutureVuls」新增高風險開源軟體檢測與評估功能 (2026年6月17日), PR Times
- Source
- PR Times
- Date
- 2026年6月17日
未來公司宣布,其弱點管理解決方案「FutureVuls」於2026年6月3日起新增「軟體健康度」等功能,可透過客觀指標評估開源軟體(OSS)的健全性,強化軟體供應鏈整體的風險管理能力。
📋 文章處理履歷
- 📰 發表: 2026年6月17日 22:00
- 🔍 收集: 2026年6月17日 13:18
- 🤖 AI分析完成: 2026年6月17日 13:39(收集後21分鐘)
未來公司(總部:東京都品川區,代表取締役社長:谷口友彥,以下簡稱未來公司)宣布,其弱點管理解決方案「FutureVuls(FutureVuls)」已進行更新,自2026年6月3日起新增「軟體健康度」等功能,可透過客觀指標評估正在使用的開源軟體(OSS)的健全性。此次更新使FutureVuls在既有已知弱點(CVE※1)的檢測與因應之外,更能持續評估OSS開發方的維護狀況,強化其作為統一管理軟體供應鏈整體健全性的平台功能。
新功能「軟體健康度」:以客觀分數可視化OSS健全性
過去的弱點管理,多以CVSS對檢測到的個別弱點(CVE)進行評分並加以因應。然而,隨著檢測到的弱點數量增加、網路攻擊日益複雜,以及弱點管理所依賴的公共資料庫運作方式變更(※2)等,企業資安所處的環境正急速變化。弱點管理也開始需要對軟體供應鏈整體的健全性進行持續評估,並建立對風險具有效力的治理機制。
未來公司認為,開發單位未正式宣告支援終止(EOL),卻長期未進行維護的OSS,是當前需特別關注的課題。根據本公司針對實際運作環境中約1萬6千個OSS元件的獨家分析,約10%已處於正式EOL狀態,另有約50%處於開發停滯或實質EOL狀態(※3)。這些元件將不再獲得安全性修補等支援,且僅靠CVE檢測難以掌握包含OSS之系統間依賴關係所潛藏的風險。未來公司認為,未來的資安治理除弱點的檢測與因應外,整合性地持續評估OSS健全性的「軟體供應鏈健全性管理」已不可或缺,因此實施此次大規模功能強化。
實際運作環境中約1萬6千個OSS元件的分析結果(未來公司調查・2026年)
■ 本次更新主要內容
FutureVuls自2025年11月起,已提供檢測與統一管理因儲存庫歸檔或棄用(deprecated)等而宣告支援終止的OSS之功能。本次更新則進一步擴充其作為軟體供應鏈風險管理平台的功能,新增對無明確終止宣告之OSS的健全性評估,以及SBOM對應等能力。
FutureVuls運作機制:整合「彙整→評估→判斷→因應」於單一服務
1. OSS健全性評估:軟體健康度的可視化與「實質EOL」的檢測
於管理介面中顯示各OSS的維護狀況與建議行動,並能根據客觀數據判定「確定EOL(EOL-Confirmed)」與「實質EOL(事實上的開發停止)」。同時,透過依據第一手資訊重新檢視官方EOL的判定,提升其準確度(※4)。判定「實質EOL」時,採用本公司開發的開源工具「uzomuzo-oss」(※5),該工具可自動將OSS生命週期分為多個階段進行分類。
2. 可視化函式庫的相依關係
現已可區分函式庫的相依關係為「直接相依/間接相依」。當間接相依的OSS存在弱點時,可在介面上反向查詢是哪個直接相依函式庫需更新才能解決,大幅減少擬定因應方針時所需的調查工時。
3. 擴大資訊來源:支援歐洲(EUVD/ENISA KEV)等資料庫
為支援2026年9月11日施行的網路韌性法(CRA)之弱點通報義務,FutureVuls新增納入歐洲的EUVD(EU Vulnerability Database)作為弱點資訊來源。同時,威脅情報的納入對象也新增歐洲的ENISA KEV,與既有的CISA KEV/VulnCheck KEV並列。
4. 強化SBOM對應:可登記非公開EOL資訊,且支援非指定工具產生的SBOM
為促進軟體物料清單(SBOM)的實際應用與風險評估,FutureVuls現已可讓組織各自登記並統一管理未收錄於endoflife.date等開源資料庫中的自製產品或商用軟體的EOL資訊,且資訊可保持非公開狀態。只要符合標準規格(CycloneDX/SPDX),即使是由FutureVuls未正式支援的工具所產生的SBOM,亦可匯入使用。
未來公司今後將持續致力於FutureVuls的功能提升,並持續透過開源方式公開技術成果與研究發現。我們將透過實現基於客觀數據的「軟體供應鏈健全性管理」,為各類組織提升資安水準做出貢獻。
■ 關於FutureVuls
FutureVuls是一套解決方案,可對從作業系統、中介軟體到函式庫等廣泛系統的弱點,實現檢測、資訊收集、因應判斷、任務管理、修補程式套用等弱點管理的集中化與自動化,為GitHub上免費公開的「Vuls」之企業商用版本。
「FutureVuls」為未來公司之註冊商標。產品網站:https://www.vuls.biz/
※1.透過「共通弱點識別碼(CVE,Common Vulnerabilities and Exposures)」識別並公開的弱點。
※2.美國國家標準與技術研究院(NIST)於2026年4月宣布,將國家弱點資料庫(NVD)的運作轉向風險導向模式,並自2026年3月1日起,將此前未補充資訊的CVE(共通弱點識別碼)歸類為「Not Scheduled(補充計畫無)」。優先補充資訊的對象,將限縮於美國網路安全與基礎設施安全局(CISA)所公布的遭利用弱點目錄(KEV)等。
美國商務部監察長(OIG)報告指出,NVD中未處理的弱點從2024年6月的約1萬3千件,擴大至2025年底的逾2萬7千件,且嚴重性分數與獨立評估一致的比例僅約12%,顯示單一資訊來源的弱點管理已顯現其極限。
※3.針對實際運作環境中約1萬6千個OSS元件之獨家調查詳情。
https://www.vuls.biz/software-supplychain/eol-risk
※4.健全性評估以目標套件的最新穩定版為基準,並非針對伺服器內檢測到的個別版本本身進行評估。
※5. uzomuzo-oss: https://github.com/future-architect/uzomuzo
新功能「軟體健康度」:以客觀分數可視化OSS健全性
過去的弱點管理,多以CVSS對檢測到的個別弱點(CVE)進行評分並加以因應。然而,隨著檢測到的弱點數量增加、網路攻擊日益複雜,以及弱點管理所依賴的公共資料庫運作方式變更(※2)等,企業資安所處的環境正急速變化。弱點管理也開始需要對軟體供應鏈整體的健全性進行持續評估,並建立對風險具有效力的治理機制。
未來公司認為,開發單位未正式宣告支援終止(EOL),卻長期未進行維護的OSS,是當前需特別關注的課題。根據本公司針對實際運作環境中約1萬6千個OSS元件的獨家分析,約10%已處於正式EOL狀態,另有約50%處於開發停滯或實質EOL狀態(※3)。這些元件將不再獲得安全性修補等支援,且僅靠CVE檢測難以掌握包含OSS之系統間依賴關係所潛藏的風險。未來公司認為,未來的資安治理除弱點的檢測與因應外,整合性地持續評估OSS健全性的「軟體供應鏈健全性管理」已不可或缺,因此實施此次大規模功能強化。
實際運作環境中約1萬6千個OSS元件的分析結果(未來公司調查・2026年)
■ 本次更新主要內容
FutureVuls自2025年11月起,已提供檢測與統一管理因儲存庫歸檔或棄用(deprecated)等而宣告支援終止的OSS之功能。本次更新則進一步擴充其作為軟體供應鏈風險管理平台的功能,新增對無明確終止宣告之OSS的健全性評估,以及SBOM對應等能力。
FutureVuls運作機制:整合「彙整→評估→判斷→因應」於單一服務
1. OSS健全性評估:軟體健康度的可視化與「實質EOL」的檢測
於管理介面中顯示各OSS的維護狀況與建議行動,並能根據客觀數據判定「確定EOL(EOL-Confirmed)」與「實質EOL(事實上的開發停止)」。同時,透過依據第一手資訊重新檢視官方EOL的判定,提升其準確度(※4)。判定「實質EOL」時,採用本公司開發的開源工具「uzomuzo-oss」(※5),該工具可自動將OSS生命週期分為多個階段進行分類。
2. 可視化函式庫的相依關係
現已可區分函式庫的相依關係為「直接相依/間接相依」。當間接相依的OSS存在弱點時,可在介面上反向查詢是哪個直接相依函式庫需更新才能解決,大幅減少擬定因應方針時所需的調查工時。
3. 擴大資訊來源:支援歐洲(EUVD/ENISA KEV)等資料庫
為支援2026年9月11日施行的網路韌性法(CRA)之弱點通報義務,FutureVuls新增納入歐洲的EUVD(EU Vulnerability Database)作為弱點資訊來源。同時,威脅情報的納入對象也新增歐洲的ENISA KEV,與既有的CISA KEV/VulnCheck KEV並列。
4. 強化SBOM對應:可登記非公開EOL資訊,且支援非指定工具產生的SBOM
為促進軟體物料清單(SBOM)的實際應用與風險評估,FutureVuls現已可讓組織各自登記並統一管理未收錄於endoflife.date等開源資料庫中的自製產品或商用軟體的EOL資訊,且資訊可保持非公開狀態。只要符合標準規格(CycloneDX/SPDX),即使是由FutureVuls未正式支援的工具所產生的SBOM,亦可匯入使用。
未來公司今後將持續致力於FutureVuls的功能提升,並持續透過開源方式公開技術成果與研究發現。我們將透過實現基於客觀數據的「軟體供應鏈健全性管理」,為各類組織提升資安水準做出貢獻。
■ 關於FutureVuls
FutureVuls是一套解決方案,可對從作業系統、中介軟體到函式庫等廣泛系統的弱點,實現檢測、資訊收集、因應判斷、任務管理、修補程式套用等弱點管理的集中化與自動化,為GitHub上免費公開的「Vuls」之企業商用版本。
「FutureVuls」為未來公司之註冊商標。產品網站:https://www.vuls.biz/
※1.透過「共通弱點識別碼(CVE,Common Vulnerabilities and Exposures)」識別並公開的弱點。
※2.美國國家標準與技術研究院(NIST)於2026年4月宣布,將國家弱點資料庫(NVD)的運作轉向風險導向模式,並自2026年3月1日起,將此前未補充資訊的CVE(共通弱點識別碼)歸類為「Not Scheduled(補充計畫無)」。優先補充資訊的對象,將限縮於美國網路安全與基礎設施安全局(CISA)所公布的遭利用弱點目錄(KEV)等。
美國商務部監察長(OIG)報告指出,NVD中未處理的弱點從2024年6月的約1萬3千件,擴大至2025年底的逾2萬7千件,且嚴重性分數與獨立評估一致的比例僅約12%,顯示單一資訊來源的弱點管理已顯現其極限。
※3.針對實際運作環境中約1萬6千個OSS元件之獨家調查詳情。
https://www.vuls.biz/software-supplychain/eol-risk
※4.健全性評估以目標套件的最新穩定版為基準,並非針對伺服器內檢測到的個別版本本身進行評估。
※5. uzomuzo-oss: https://github.com/future-architect/uzomuzo
常見問題
『軟體健康度』功能評估哪些項目?
綜合評估更新頻率、社群活躍度、安全性回應等,以檢測實質停更狀態。
FutureVuls能管理自家開發的開源軟體嗎?
可以。支援登記非公開EOL資訊,適用於自製或商用軟體。
uzomuzo-oss能公開使用嗎?
可以。已在GitHub開源,任何人都能免費使用與修改。