流用したOSSコードのライセンスや脆弱性を高速検索、テクマトリックスが管理ツール発売：約70億件のソースコードと比較

テクマトリックスは、自社開発のソースコードに流用されているオープンソースソフトウェアを検出し、そのライセンスポリシーやセキュリティ脆弱（ぜいじゃく）性などを確認できるツール「FOSSID」の販売を開始した。

[＠IT]

　テクマトリックスは2018年9月27日、スウェーデンFOSSID ABが開発した、自社開発ソフトウェア向けのライセンス／セキュリティ管理ツール「FOSSID」の販売を開始すると発表した。自社開発したソフトウェアのソースコードに流用されているオープンソースソフトウェア（OSS）を検出し、そのライセンスポリシーやセキュリティ脆弱（ぜいじゃく）性などを確認できる。

スウェーデンFOSSID ABのWebページ

　FOSSIDはOSSのナレッジベースを備えており、各種プログラミング言語で書かれたソースファイルに流用されているOSSを、独自のアルゴリズムで特定する。OSSのコードの一部をコピー、ペーストしたり、改編したりした場合でも、基になったOSSを確認できるコードスニペット検出にも対応する。

　OSSのプロジェクトはフォーク（別のプロジェクトへの分岐）することが珍しくないため、OSSを利用したコードがどのプロジェクトから派生したのか分からないと、検出結果が膨れあがる恐れがある。FOSSIDはこうしたノイズを排除し、ユーザーが利用しているOSSコードの起点を識別できるスキャン結果レポートを表示する。

　それに加え、米国立標準技術研究所（NIST）が公開するCVE（Common Vulnerabilities and Exposures：共通脆弱性識別子）に基づいて、コードの流用元OSSの脆弱性情報も表示する。

　FOSSIDは3700万件以上のオープンソースプロジェクトに関する70億以上のソースファイルと5000億以上のコードスニペット情報を格納したナレッジベースを利用する。

コード品質管理の一貫として利用可能

　開発工数を低減するため、独自ソフトウェアの開発にOSSを利用する例が増加しているものの、むやみに利用すると、OSSのライセンスポリシーに違反したり、脆弱性を含んだコードを取り込んだりする恐れがある。FOSSIDを利用することで、開発中のソフトウェアにOSSを利用しているかどうかが一目で確認でき、ライセンスポリシーやセキュリティリスクを把握できるようになる。このため、コード品質管理ツールとして有用だという。

　FOSSIDの提供形態は2つあり、一つはSaaS（Software as a Service）形態の「レギュラー」、もう一つはユーザーのオンプレミスシステムで利用する「オフライン」である。

　いずれも自社開発のソースコードをネットワークにアップロードすることはない。レギュラーでは最新のナレッジベースを利用でき、オフラインではオンプレミスサーバに格納したナレッジベースを利用する。このナレッジベースはミラーサーバを介して定期的にアップデートされる。