流用したOSSコードのライセンスや脆弱性を高速検索、テクマトリックスが管理ツール発売:約70億件のソースコードと比較
テクマトリックスは、自社開発のソースコードに流用されているオープンソースソフトウェアを検出し、そのライセンスポリシーやセキュリティ脆弱(ぜいじゃく)性などを確認できるツール「FOSSID」の販売を開始した。
テクマトリックスは2018年9月27日、スウェーデンFOSSID ABが開発した、自社開発ソフトウェア向けのライセンス/セキュリティ管理ツール「FOSSID」の販売を開始すると発表した。自社開発したソフトウェアのソースコードに流用されているオープンソースソフトウェア(OSS)を検出し、そのライセンスポリシーやセキュリティ脆弱(ぜいじゃく)性などを確認できる。
FOSSIDはOSSのナレッジベースを備えており、各種プログラミング言語で書かれたソースファイルに流用されているOSSを、独自のアルゴリズムで特定する。OSSのコードの一部をコピー、ペーストしたり、改編したりした場合でも、基になったOSSを確認できるコードスニペット検出にも対応する。
OSSのプロジェクトはフォーク(別のプロジェクトへの分岐)することが珍しくないため、OSSを利用したコードがどのプロジェクトから派生したのか分からないと、検出結果が膨れあがる恐れがある。FOSSIDはこうしたノイズを排除し、ユーザーが利用しているOSSコードの起点を識別できるスキャン結果レポートを表示する。
それに加え、米国立標準技術研究所(NIST)が公開するCVE(Common Vulnerabilities and Exposures:共通脆弱性識別子)に基づいて、コードの流用元OSSの脆弱性情報も表示する。
FOSSIDは3700万件以上のオープンソースプロジェクトに関する70億以上のソースファイルと5000億以上のコードスニペット情報を格納したナレッジベースを利用する。
コード品質管理の一貫として利用可能
開発工数を低減するため、独自ソフトウェアの開発にOSSを利用する例が増加しているものの、むやみに利用すると、OSSのライセンスポリシーに違反したり、脆弱性を含んだコードを取り込んだりする恐れがある。FOSSIDを利用することで、開発中のソフトウェアにOSSを利用しているかどうかが一目で確認でき、ライセンスポリシーやセキュリティリスクを把握できるようになる。このため、コード品質管理ツールとして有用だという。
FOSSIDの提供形態は2つあり、一つはSaaS(Software as a Service)形態の「レギュラー」、もう一つはユーザーのオンプレミスシステムで利用する「オフライン」である。
いずれも自社開発のソースコードをネットワークにアップロードすることはない。レギュラーでは最新のナレッジベースを利用でき、オフラインではオンプレミスサーバに格納したナレッジベースを利用する。このナレッジベースはミラーサーバを介して定期的にアップデートされる。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
- Synopsysが調査、対象コードの78%にオープンソース由来の脆弱性あり
Synopsys(シノプシス)のBlack Duckグループによると、さまざまなソースコードが含むオープンソースソフトウェア(OSS)の比率が高まっているという。それに伴い、OSSに起因する脆弱(ぜいじゃく)性をも取り込んでしまっている場合が少なくない。 - 大企業ではオープンソースがベストプラクティスに――The Linux Foundationが調査
The Linux Foundationは、「2018年オープンソース プログラム管理調査」の結果を公開した。調査対象企業の53%がオープンソースソフトウェア(OSS)を使うための社内の計画があるか、または2019年中に計画を策定すると回答。この傾向は大企業ほど顕著だった。 - Microsoft、オープンソース団体「Open Source Initiative」に参加
Microsoftがオープンソース団体「Open Source Initiative」にプレミアムスポンサーとして参加する。今後、オープンソースコミュニティーとの関わりをさらに広げ、深め、OSIの活動をサポートしていくと方針を示した。