◆OSS管理の課題と「WhiteSource」のソリューション
OSSは、いまやあらゆるITソフトウェアや組込みシステムに使用され、完成されたソフトウェアコードの80%に迫るとされています。
一方で、毎年多くのOSSのセキュリティ脆弱性が報告されており、その脆弱性を突いた事故や事件が多発しています。また、OSSのライセンスポリシーはGPLやApacheをはじめ多数の種類やバージョンが存在するためリスクアセスメントが容易でなく、ライセンス違反訴訟により、使用停止や違約金を課された事例もあります。
「WhiteSource」は、プログラミング言語、ビルドツール、開発環境を問わず、ソフトウェアのビルドプロセスに統合することで、ソフトウェアのどこに、どのOSSが使われているか、瞬時にインベントリーレポートで可視化し、膨大なOSS情報データベースとマッチングして、脆弱性やライセンス違反などの問題を警告し、バグやアップデート情報をいち早く提供すると同時に、その解決策も提示します。脆弱性やバグを開発の初期段階に発見できれば、問題のあるコンポーネント使用を回避したり、修正の手間やコストが大幅に削減されます。
また、開発した製品やシステムをリリースした後も、セキュリティと品質を継続的に監視・警告するので、使用しているOSSに問題が発見された場合に迅速に対応することができます。
「WhiteSource」のOSSデータベース(300万コンポーネント/ 7,000万ソースファイル)は継続的にアップデートされており、誤検出を回避するため、正確なマッチングを可能にする独自アルゴリズムを採用しています。
また、セキュリティデータベースでカバーしている脆弱性は
約18万件で、競合製品の2倍に相当します。
◆「WhiteSource」の仕組み
サービスとして提供します(オプションでオンプレミスも可能)。
◇ステップ1
開発環境に置かれたエージェントが、各ファイルに対する独自識別子(UID)を計算し、全UIDがクラウド上のWhiteSource サーバーへ送付されます。
◇ステップ2
UID は WhiteSource のOSSマスターDBとマッチングされ、OSSと認識されたものに対して、セキュリティ、ライセンス、品質などのデータが、ユーザー特定のインベントリーDBに蓄積されます。
◇ステップ3
ユーザーアカウントの情報がアップデートされ、全ての解析データがオンラインで利用可能となります。
◆「WhiteSource」の販売について
◇販売形態:年間サブスクリプション費用によるサービス提供
◇販売価格:年間使用料(サブスクリプション) 998,000円(税別)~
※開発者数 10、プログラミング言語 3、アプリケーション数 10の場合です。
※開発者数、プログラミング言語、アプリケーション数などによって使用料が変わります。
◇販売目標: 2018年度 3億円
※無料トライアル版を提供しています。
https://www.whitesourcesoftware.com/trial3/?lang=ja
◆「WhiteSource」の機能
(1)脆弱性・セキュリティ対策
セキュリティ確保のために、脆弱性を持つOSSの使用をWhiteSourceが指摘し、解決策を提示。
OSSを含んだ製品 / システムのリリース後も、自動トラッキングとアラートを提供。
(2)ライセンス違反・訴訟リスク対策
多様なライセンスポリシーをサポートし、ライセンス情報とリスクアセスメントを提示し、リリースマネジメントを自動化。
(3)オープンソース利用の見える化
世界中のOSS情報(300万コンポーネント/ 7,000万ソースファイル)を12のデータベースに蓄積して継続的にアップデートしており、どこにOSSが使用されているか、コンポーネントを自動検出して、リスクも含めてリスト(インベントリーレポート)を提出。
(4)バグ / アップデート対策
重大度別にソフトウェアバグトラッキングを実施し、解決策を提示。バグやアップデートされていないコンポーネント使用を回避。
◆「WhiteSource」の特長
(1)正確なデータベースとマッチング
誤検出を回避するために、正確なマッチングを可能にするアルゴリズムを採用。
(一般的な検出ツールでは、誤検出が多くなりがちで無駄な警告が発生し、運用コストが増大)
(2)多様なプログラミング環境に対応
20種類以上のプログラム言語を、ソースコードおよびバイナリ―でカバー。また、Dockerコンテナもサポートしており、コンテナにディプロイされたソフトウェアおよびコンテナ自体の脆弱性も検出。
セキュリティデータベースでカバーしている脆弱性は約18万で、競合製品の2倍に相当。
(3)多くのツールやシステム環境を統合的にサポート
一般的なCIサーバーやビルドツールを統合可能で、脆弱性のあるOSSコンポーネントを使用するとリアルタイムに警告を出し、ビルドを実行する前に脆弱性のないコンポーネントを提示。
(4)リリース後も継続的に監視・警告
リリース後の製品やシステムに使用されているOSSコンポーネントを、各方面から継続的にトラッキングしているので、製品のセキュリティと品質の問題点を継続的に監視。
(5)チーム横断に対応し、システム開発ライフサイクルをフルカバー
SDLC(システム開発ライフサイクル)の全段階において安全にOSSコンポーネントを管理。
セキュリティ、エンジニアリング、法務など、各部門でOSS活用やリスク管理が可能。
※製品の詳細は以下をご参照ください。
http://www.whitesource.jp/
※競合製品/ソリューションとの比較情報も掲載しています
https://www.whitesourcesoftware.com/alternative-methods-managing-open-source-use-comparison-2/?lang=ja
●スキャン結果の全体情報(ダッシュボード)
●利用しているOSSリストと詳細(インベントリーレポート)
●アラートリスト(リスク、問題点のある使用中のOSS)
●ライセンスリスト(利用しているOSSライセンス種別)
●リスクレポート
【エンドースメント】
■イスラエル大使館 経済部 経済公使 経済貿易ミッション代表
ノア・アッシャー氏
私たちは、GDEPソリューションズがイスラエルのセキュリティ企業WhiteSource社とパートナーシップを持ち、日本国内にWhiteSourceソリューションを広めていくことを大変歓迎します。ソフト開発におけるオープンソースコンポーネント使用を「見える化」して、そのリスクを検知、回避するWhiteSourceソリューションが、日本のソフト開発の生産性向上に、今後大きく貢献できるものと期待しております。
今後も私たちは、日本企業とイスラエル企業とのパートナーシップ構築に積極的に関わっていきます。
■一般社団法人 オープンソースライセンス研究所
所長 杉本 等氏
当団体は日本におけるオープンソースソフトウェアの更なる活用推進に向けて、ライセンスの基礎知識や活用方法の研究を行い、健全な利用を促進することにより、ソフトウェア産業の更なる発展を目指しています。また日本で唯一、ライセンスに関わる法律関連の課題についても考え、対応することを目指した非営利の組織です。
この度GDEPソリューションズ社がオープンソースソフトウェアを適正かつ安全に利用するための、OSSセキュリティ&コンプライアンス管理ソリューション「WhiteSource」の提供を開始することで、オープンソースソフトウェアの健全な利用が拡大することを期待しています。
■GDEPソリューションズについて
http://www.gdep-sol.co.jp/
GDEPソリューションズは、GPUコンピューティングやマルチコアCPUの用途開拓や市場創出を目的としてGPU関連企業により2010年に結成されたG-DEP(日本GPU コンピューティングパートナーシップ)が、6年間の活動を経て新たな展開として設立した新会社です。GDEPソリューションズは、NVIDIA Corporation(米カリフォルニア州)の日本唯一の「Elite Solution Provider」であるG-DEPの事業をより発展させ、ディープラーニングやCAD/CAEなどをターゲットとしてNVIDIA社GPU製品を活用した各種ソリューションをパートナー企業と連携して提供します。また、新しい事業として、製造業ユーザーのシステムやアプリケーションを熟知した強みを生かして、製造業ユーザーに最適なクラウド(コンピューティング、ストレージ)、VDI(仮想デスクトップ)、セキュリティなどのITソリューションを、先進のソフトウェアとハードウェアを組み合わせ、パートナー企業との協業により提供します。
■報道関係者お問合せ
◇GDEPソリューションズ株式会社
広報担当 戸波 あずさ
TEL:03-5802-7050 Email:pr@gdep-sol.co.jp
※プレスリリースで使用しているイメージ、スクリーンショットを以下にアップしています。
※記載されている会社名、製品名ならびにサービス名は、各社の商標または登録商標です。