ソフトウェア開発に欠かせないオープンソースソフトウェア(OSS)とは?〜安全に活用するために知っておくべきリスク〜

リックソフトブログ

2021年06月10日

ソフトウェア開発に欠かせないオープンソースソフトウェア(OSS)とは?〜安全に活用するために知っておくべきリスク〜

Author

伊藤 葵 ito aoi

伊藤 葵</mt:Var>

みなさん、こんにちは。リックソフト 営業の伊藤です。

ソフトウェア開発に必要不可欠なOSS(オープンソースソフトウェア)ですが、みなさんは自社のソフトウェアにどんなOSSが使われているか、利用状況は把握できていますか?

OSSの利用には様々なメリットがありますが、同時にリスクも存在します。

本日はOSS利用上の注意点をご説明いたします!

■OSS(オープンソースソフトウェア)とは?

オープンソースとは、ソースコードを誰でもアクセスできるようにし、自由に改良や再配布することを許可したものです。

一からソフトウェアを開発するのには多大な時間と労力を要しますが、既に出来上がっているオープンソースを利用すればその手間を大幅に減らすことが可能です。

ソフトウェアにおけるOSSの利用割合は年々増加の傾向にあり、現在、ソフトウェア製品の90%以上の実装にOSSが利用されていると言われています。

参照

『オープンソースの定義』・・・ Open Source Initiative (OSI) ※1で作成された10項目に当てはまること。

  1. 自由な再頒布
  2. ソースコード(「ソースコード公開」も含む自由な利用)
  3. 派生物(Derived Works. 派生物の自由な利用)
  4. 原著作者のソースコードとの区別 (Integrity) - これはTeXなどパッチのみの配布を要求するソフトウェアをOSDに合致させるための妥協の産物である。
  5. 特定人物・集団に対する差別の禁止 - たとえば「特定国家への輸出を禁ずるソフトウェア」はOSDに合致しない。
  6. 使用分野 (Fields of Endeavor) に対する差別の禁止 - 例えば「兵器への利用を禁ずるソフトウェア」はOSDに合致しない。
  7. ライセンスの権利配分(Distribution of License. ライセンスが再頒布者に認める権利は差別なく与えなければならない。)
  8. ライセンスは特定製品に限定してはならない
  9. ライセンスは他のソフトウェアを制限してはならない - 著作物として別個のものと明確に定義できる各ソフトウェアはそれぞれ別のライセンスであってもよい(例えば一方がオープンソースライセンスであっても他方はプロプライエタリであってもよい)。GPLもこの条件に合致している("集積物の別の部分と見なされるパッチ"を参照)。
  10. ライセンスは技術中立 (Technology-Neutral) でなければならない - ライセンスに特定技術に依存するような条項があってはならない。例えばクリックラップ(英語版)などのソフトウェア利用許諾契約は、GUIのクリック操作という、契約に対する明確な同意の意思表示を強要する。仮に「クリックラップ」条項が含まれたオープンソースソフトウェアをCUI環境でしか動作しないソフトウェアに組み込んだ場合に問題が発生する。

参照元

なぜオープンソースソフトウェア(OSS)が使われるの?

OSSの利用には以下のようなメリットがあります。

  • 開発のスピードアップ(⇒ 車輪の再開発が不要になる)
  • 信頼性(⇒オープンソース・コミュニティによって、常に最新版に更新される)

■必要不可欠なOSSですが、利用には課題やリスクがあります!

課題

  • オープンソースの利用状況が把握できない
  • OSSの知識を持った技術者不足
  • 開発元にバグ修正の責任はない⇒バージョンアップの管理が煩雑

リスク

  • 脆弱性・セキュリティによるリスク
  • ライセンス違反・訴訟リスク

■脆弱性・セキュリティによるリスクって何?

OSSは誰でも自由に改良、再配布することができるということから、頻繁に利用されているOSSであれば
世界中にいるユーザーの誰かがソースコードの不具合を見つけ、修正や改良が行われています。

公開されたセキュリティ脆弱性にはパッチやバージョンアップ等の対策が必要となり、何も対策を行わず修正前のソフトウェアを利用し続けた場合、脆弱性を突いたサイバー攻撃を受ける可能性があり非常に危険です。

脆弱性を突いたサイバー攻撃により、「個人情報の窃取」「IT基盤の障害に伴う業務停止」といった被害もでております。

OSSを利用する場合には常にセキュリティ脆弱性の情報を確認し、セキュリティ脆弱性のないバージョンを利用することが重要です。

■ライセンス違反・訴訟リスクって何?

OSSは誰もが自由に利用、再配布可能ですが、何をしても良いと言うわけではありません。

OSSのライセンスにはコピーレフトという著作権に関する概念があり、適用範囲に応じて、ルールに沿って利用する必要があります。

ライセンス違反をした場合は、訴訟に発展してしまうこともあり、製品の販売停止や損害賠償が求められることもあります。

OSSを利用する場合には、開発したソフトウェアにどのようなOSSが利用されているかを把握し、OSSライセンスが要求する条件を満たすことが重要です。

類型

改変部分の

公開義務

組み合わせて利用しているソースコードの公開義務

組合せソース

コードの公開義務

主なライセンス

コピーレフト型

GPL

AGPL

EUPL

準コピーレフト型

×

LGPL

MPL

非コピーレフト型

×

×

BSD

Apache License

■OSSのリスク、人手で管理するには限界がある!

これまでお話した通り、便利なOSSですが利用にはリスクが伴います。

早期開発と高品質が求められる中、数多く使われているOSSに対して、脆弱性の有無および、コンプライアンスに違反していないかというリスクを、人が確認することは現実問題として難しいのではないでしょうか。

営業として日々お客様との打ち合わせに参加しておりますが、自社で使われている数百、数千あるOSSをExcelで管理していて、もう限界!というお声をよくお聞きします。

お客様からよく聞く課題

  • 自社で使われているOSSを把握、管理したい
  • 自社で開発しているソフトウェアの品質を担保したい
  • ライセンスの管理に時間を割かれることなく、製品開発に集中したい
  • 開発スピードを速め、高品質なサービスを提供したい
  • 開発コストを削減したい

■OSS利用の課題はWhiteSourceにお任せください!

WhiteSourceとはソフトウェアで利用されているOSSを一覧化し、OSSに含まれる既知の脆弱性を通知し、ライセンスのコンプライアンスを管理するソフトウェア構成分析 (Software Composition Analysis : SCA) ツールです。

ソフトウェア構成分析(SCA)とは?
詳細はこちらのブログ:https://www.ricksoft.jp/blog/articles/001258.html

WhiteSourceで簡単にチェックできます!

  • ライセンスがコンプライアンスに違反していないか?
  • 既知の脆弱性が報告されていないか?

WhiteSourceを利用することにより、従来手作業で1週間かかっていた業務が15分にまで短縮できた事例がございます!
トライアルも可能ですので、まずはお気軽にご相談ください!(開発者数20以上、期間は最長で14日間)

株式会社WorkVision様の事例:https://www.ricksoft.jp/case-studies/workvision.html


最後まで読んでいただきありがとうございました!

OSS管理にお悩みでしたら、ぜひ、この機会にためしてみませんか?
まずはリックソフトまでお気軽にお問合せください!

※1 リックソフトは以前、OSSコンサルタントの吉田様をお招きしたウェビナーを2度開催しております。
セミナー講演資料のダウンロードも可能ですので、以下リンク先をご覧ください。

OSSを正しく理解しWhiteSourceを使い脆弱性とライセンスリスクに対応する仕組みとは?
事例で学ぶ!WhiteSourceをCI/CDに取り入れDevSecOpsを実現

                                         

関連する製品について詳しくはこちらをご覧ください

WhiteSource

WhiteSourceを試してみたい方はこちら

WhiteSource無料トライアルご依頼フォーム

WhiteSourceの導入事例はこちら

WhiteSource 導入事例

WhiteSourceに関する資料請求、製品デモ、お見積もりのご要望は下記リンクより承っております。

WhiteSource お問い合わせ         
              
                                                                   

本情報はブログを公開した時点の情報となります。
ご不明な点はお問い合わせください。

        

お問い合わせ   

  
本ブログのカテゴリ: WhiteSource

カテゴリ一覧

最近の記事

年別アーカイブ

アトラシアン製品の導入と活用を
成功させたいなら
リックソフトのサポートが
必要です。

サードパーティ製のアドオンもサポート

サードパーティ製のアドオンもサポート

RS標準サポート

アトラシアン社ではサポート範囲外となっているサードパーティ製のアドオンをリックソフトのRS標準サポートではサポートします。

  • アトラシアン製品とサードパーティ製のアドオンとの事象の切り分け
  • 海外のアドオンベンダーとのやり取りを代行(日→英/英→日)

リックソフトのRS標準サポートは開発元が提供するサポート以上の価値があります。

サポートについて

ツールの活用を促進するアイテム

ツールの活用を促進するアイテム

各種ガイドブック

ツールを導入しただけでは成功とはいえません。利用者が効果を感じていただくことが大切です。独自で制作した各種ガイドブックはツール活用を促進します。

リックソフトからライセンス購入を頂いたお客様にはガイドブックを無料進呈いたします。

ガイドブックについて

価値あるツールの使い方

価値あるツールの使い方

研修・トレーニング

ツール操作の研修だけでなく「ウォータフォール型開発」「アジャイル型開発」のシミュレーション研修も提供。

日本随一の生産性向上にも効果のある研修サービスです。

リックソフトからライセンス購入を頂いたお客様には無料招待や割引特典がございます。

研修について

PAGE TOP