リックソフトブログ

2020年10月15日

【オープンソースの脆弱性対策】OSSを正しく理解しWhiteSourceを使い脆弱性とライセンスリスクに対応する仕組みとは?

Author

夏橋 美佐 Misa Natsuhashi

夏橋 美佐</mt:Var>

  

こんにちは!夏橋です。

リックソフトは、2020年10月8日にオープンソースソフトウェア(OSS)を正しく理解し、脆弱性とライセンスリスクに対応する仕組みをご紹介するオンラインセミナーを開催いたしました。

アプリケーション開発においてOSSの利用率は80%を超えていると言われています。市場の変化や利用者のニーズの変化に早期に対応するためには、OSSは必要不可欠となるなか、OSSを正しく理解し活用することが必要です。

念のためおさらい!OSSとは?

オープンソースソフトウェア(Open Source Software、以下OSS)とは、ソースコードが無償で公開され、さらに利用や改変、再配布を行うことが誰に対しても許可されているソフトウェアのことです。

オープンソースソフトウェアの促進を目的とする団体Open Source Initiative(OSI)は、OSSを以下の10項目より定義し、これらに準拠したソフトウェアにオープンソースライセンスを承認しています。

  1. 自由に再配布ができること
  2. ソースコードを入手できること
  3. 派生ソフトウェアに対し同じライセンス条件での配布を許可すること
  4. 差分情報の配布を認める場合には、同一性の保持を要求してもかまわない
  5. 個人やグループを差別しないこと
  6. 利用する分野を差別しないこと
  7. 再配布において追加ライセンスを必要としないこと
  8. 特定の製品だけに限定したライセンスにしないこと
  9. 同梱して配布される他のソフトウェアに制限を課さないこと
  10. 技術的な中立を保っていること


あわせて読みたい!

OSS(オープンソースソフトウェア)とは? OSSを活用するメリットや注意点、OSS管理に専用ツールが必要な理由を解説

ノーコードとローコードの違いは?ツール導入時の注意点やシステム内製化の際に併用すべきツールを紹介

レガシーシステムとは?使い続ける場合の課題点や新システムとの連携方法を解説


本セミナーでは、OSS利用時の基本的なポイントから、ソフトウェア構成分析ツールWhiteSourceを活用してエンジニアの負担を減らす仕組みについてご紹介いたしました。本日はイベントのレポートをお届けします!

oss-seminar01.png

「オープンソースソフトウェア(OSS)を正しく活用するためのポイント」
OSS コンサルタント吉田 行男氏


oss-seminar02.png

OSSの歴史から運用や導入の際に気をつけておきたいポイントをOSSコンサルタントの吉田氏よりご紹介いただきました。

  • OSSの定義とは?
  • コピーレフト(Copyleft)の考え方
  • OSSのライセンス3種類(コピーレフト型、準コピーレフト型、非コピーレフト型)
  • OSSを活用するメリット・デメリット
  • OSS導入検討時の注意
    OSS利用形態、ライセンス条件、リスクの確認、ライセンス両立性、特許リスクへの対応、脆弱性確認

「OSSの脆弱性とライセンスリスクを見える化するWhiteSource活用術」
リックソフト株式会社 ソリューション3部 ゼネラルマネージャー大塚 和彦


oss-seminar03.png

WhiteSourceはOSSのセキュリティとコンプライアンスを管理できるツールです。
強力なインベントリ収集と通知の機能やマルチテナント型のユーザー管理機能、脆弱性チェックと対処方法の提案機能など、WhiteSourceにはさまざまな便利な機能が備わっています。
今回は"エンジニアの負担を削減"するという視点でそれらの便利な機能を厳選しました。

セミナー内のデモでお見せした代表的な3つのポイントをご紹介いたします。

その1:優れたレポート機能

oss-seminar04.png

オープンソースのリスクに関するレポートを表示させ、またPDF形式に出力することができます。開発者はこれをもって報告書として提出することができます。例えば、受託開発を担当する開発者が、成果物の品質の証明書としてこの機能をお使いいただけます。

ソフトウェア構成分析ツールがこれほどまでにリッチなレポーティング機能を備えているのは珍しく、多くのユーザーからご好評をいただくポイントでもあります。

その2:誤検知ゼロで発見した脆弱性への対応提案

oss-seminar05.png

OSSのセキュリティ脆弱性が発見された際は警告するだけでなく、修正方法の提案も提供します。

WhiteSourceやGitHubなど複数のベンダーからの脆弱性対応に関するアドバイスをユーザーにリスト表示します。(例:ファイルの差し替え、バージョンアップ、パッチ適用など)ユーザーは脆弱性に対して表示された解決方法を確認し、暫定対応と恒久対応の方法を知り、選択することができます。多くの場合、このステップはExcelで行われがちであり、開発者が疲弊しやすいポイントの1つです。

また、脆弱性対応の優先順位をつけてくれるオプションや脆弱性対応の自動化オプションも活用することで、更なる開発者の負担軽減へ繋がります。

その3:JiraやGitHubなど外部ツールとの連携

oss-seminar06.png

GitHubやアジャイルなタスク管理ツールJira Softwareをはじめとする多数の外部開発ツールとの連携が可能です。最近では、継続的インテグレーション(CI⁠⁠/継続的デリバリ(CD)のトレンドを受け、Azure DevOpsやCircle CIとの連携も人気です。ジョブ実行時にソフトウェア構成解析を行うことで、ライセンス・セキュリティ・品質に関する問題を早い段階で見つけることができ、問題の複雑化を防ぐことができます。

セミナー運営チームの感想

お申し込み数に対し、参加率はなんと約95%を記録したこのセミナー。OSSというコアなトピックですが、OSSの利用の拡大を実感するとともに、脆弱性チェックやライセンスリスク回避の重要性を再認識しました。

個人的には、吉田氏の「OSSライセンスは、"Free(無償)ではなくFree(自由)"という、OSSの使い方は制限されるべきではない」というコピーレフトの考え方に深く感銘を受けました。また、大塚のWhiteSource紹介のなかにも「DevSecOpsの利点(高品質で安全なソフトウェアやサービスを早期にリリースできること)を最大限に活かすためのキーワードは、"完璧を目指さず、しっかりと基本をおさえる"こと」という印象的な言葉がありました。

セミナーの内容をもっと詳しく知りたいという方は、当日の資料を無料でダウンロードいただけるようになっております。多くの方々のOSSの正しい理解と更なる活用に繋がれば幸いです。

セミナー講演資料をダウンロードする

                                               

製品について詳しくはこちらをご覧ください。

WhiteSource

WhiteSourceを試してみたい方はこちら

WhiteSource無料トライアルご依頼フォーム

WhiteSourceに関する資料請求、製品デモ、お見積もりのご要望は下記リンクより承っております。

WhiteSource お問い合わせ               
                    
                                                                         

本情報はブログを公開した時点の情報となります。
ご不明な点やその他製品に関しましては下記よりお問い合わせください。

        

お問い合わせ         

  
本ブログのカテゴリ: Mend SCA(旧WhiteSource) セミナー
  

アトラシアン製品の導入と活用を
成功させたいなら
リックソフトのサポートが
必要です。

サードパーティ製のアドオンもサポート

サードパーティ製のアドオンもサポート

サポート

アトラシアン社ではサポート範囲外となっているサードパーティ製のアドオンをリックソフトのサポートではサポートします。

  • アトラシアン製品とサードパーティ製のアドオンとの事象の切り分け
  • 海外のアドオンベンダーとのやり取りを代行(日→英/英→日)

リックソフトのサポートは開発元が提供するサポート以上の価値があります。

サポートについて

ツールの活用を促進するアイテム

ツールの活用を促進するアイテム

各種ガイドブック

ツールを導入しただけでは成功とはいえません。利用者が効果を感じていただくことが大切です。独自で制作した各種ガイドブックはツール活用を促進します。

リックソフトからライセンス購入を頂いたお客様にはガイドブックを無料進呈いたします。

ガイドブックについて

価値あるツールの使い方

価値あるツールの使い方

研修・トレーニング

ツール操作の研修だけでなく「ウォータフォール型開発」「アジャイル型開発」のシミュレーション研修も提供。

日本随一の生産性向上にも効果のある研修サービスです。

リックソフトからライセンス購入を頂いたお客様には無料招待や割引特典がございます。

研修について

PAGE TOP