Shoeisha Technology Media

EnterpriseZine(エンタープライズジン)

EnterpriseZine(エンタープライズジン)

テーマ別に探す

GDEPソリューションズ、OSSの脆弱性、ライセンス違反などのリスクを可視化、回避するサービスを販売

2017/08/29 15:00

 GDEPソリューションズは、イスラエルのホワイトソース社と代理店契約を締結し、同社のオープンソース・セキュリティ&コンプライアンス管理ソリューション「WhiteSource」を8月29日から国内で販売開始すると発表した。

 「WhiteSource」は、使用しているOSS(オープンソースソフトウェア)のセキュリティ、ライセンス、品質(バグ・アップデートなど)について、バックグラウンドで開発プロセスに影響を与えずに、独自の最新データベースと自動的に照合し、問題点があれば、重大度を含むその詳細と解決策をリアルタイムかつタイムリーにレポートする。

 企業ITにおいてOSSが不可欠の存在となった昨今、ソフトウェア開発ベンダーやシステム開発会社にとって、OSS管理の自動化・効率化が重要な課題となっていることから、GDEPソリューションズは、無料トライアル版の提供、販売パートナーの拡充などにより積極的に拡販していくとしている。

 「WhiteSource」は、プログラミング言語、ビルドツール、開発環境を問わず、ソフトウェアのビルドプロセスに統合することで、ソフトウェアのどこに、どのOSSが使われているか、瞬時にインベントリーレポートで可視化し、膨大なOSS情報データベースとマッチングして、脆弱性やライセンス違反などの問題を警告し、バグやアップデート情報をいち早く提供すると同時に、その解決策も提示するという。

 脆弱性やバグを開発の初期段階に発見できれば、問題のあるコンポーネント使用を回避したり、修正の手間やコストが大幅に削減される。また、開発した製品やシステムをリリースした後も、セキュリティと品質を継続的に監視・警告するので、使用しているOSSに問題が発見された場合に迅速に対応することができるとしている。

「WhiteSource」の仕組み

 「WhiteSource」は、サービスとして提供される(オプションでオンプレミスも可能)。

  • ステップ1:開発環境に置かれたエージェントが、各ファイルに対する独自識別子(UID)を計算し、全UIDがクラウド上のWhiteSource サーバーへ送付。
  • ステップ2:UIDは WhiteSourceのOSSマスターDBとマッチングされ、OSSと認識されたものに対して、セキュリティ、ライセンス、品質などのデータが、ユーザー特定のインベントリーDBに蓄積される。
  • ステップ3:ユーザーアカウントの情報がアップデートされ、全ての解析データがオンラインで利用可能となる。

「WhiteSource」の機能

 1. 脆弱性・セキュリティ対策:セキュリティ確保のために、脆弱性を持つOSSの使用をWhiteSourceが指摘し、解決策を提示。OSSを含んだ製品やシステムのリリース後も、自動トラッキングとアラートを提供。

 2. ライセンス違反・訴訟リスク対策:多様なライセンスポリシーをサポートし、ライセンス情報とリスクアセスメントを提示し、リリースマネジメントを自動化。

 3. オープンソース利用の見える化:世界中のOSS情報(300万コンポーネント、7,000万ソースファイル)を12のデータベースに蓄積して継続的にアップデートしており、どこにOSSが使用されているか、コンポーネントを自動検出して、リスクも含めてリスト(インベントリーレポート)を提出。

 4. バグ、アップデート対策:重大度別にソフトウェアバグトラッキングを実施し、解決策を提示。バグやアップデートされていないコンポーネント使用を回避。

「WhiteSource」の特徴

 1. 正確なデータベースとマッチング:誤検出を回避するために、正確なマッチングを可能にするアルゴリズムを採用。(一般的な検出ツールでは、誤検出が多くなりがちで無駄な警告が発生し、運用コストが増大)

 2. 多様なプログラミング環境に対応:20種類以上のプログラム言語を、ソースコードおよびバイナリ―でカバー。また、Dockerコンテナもサポートしており、コンテナにディプロイされたソフトウェアおよびコンテナ自体の脆弱性も検出。セキュリティデータベースでカバーしている脆弱性は約18万で、競合製品の2倍に相当。

 3. 多くのツールやシステム環境を統合的にサポート:一般的なCIサーバーやビルドツールを統合可能で、脆弱性のあるOSSコンポーネントを使用するとリアルタイムに警告を出し、ビルドを実行する前に脆弱性のないコンポーネントを提示。

 4. リリース後も継続的に監視・警告: リリース後の製品やシステムに使用されているOSSコンポーネントを、各方面から継続的にトラッキングしているので、製品のセキュリティと品質の問題点を継続的に監視。

 5. チーム横断に対応し、システム開発ライフサイクルをフルカバー:SDLC(システム開発ライフサイクル)の全段階において安全にOSSコンポーネントを管理。セキュリティ、エンジニアリング、法務など、各部門でOSS活用やリスク管理が可能。

関連リンク

著者プロフィール

  • EnterpriseZine編集部(エンタープライズジン ヘンシュウブ)

    「EnterpriseZine」(エンタープライズジン)は、翔泳社が運営する企業のIT活用とビジネス成長を支援するITリーダー向け専門メディアです。データテクノロジー/情報セキュリティの最新動向を中心に、企業ITに関する多様な情報をお届けしています。


All contents copyright © 2007-2019 Shoeisha Co., Ltd. All rights reserved. ver.1.5