NewsInsight

OSSを利用した開発を支援、ブラック・ダックが日本法人

「ライセンスに反するコードは含まれていない？」をチェック

2009/05/21

　米ブラック・ダック・ソフトウェアは5月20日、国内市場での活動を本格化し、ソフトウェアのコードを検証し、オープンソースソフトウェア（OSS）も利用した開発を支援するための製品「Black Duck Suite」を2009年夏に販売することを発表した。

　同社の社長兼CEO、ティム・イートン氏によると、経済的な観点から、またソフトウェア開発の効率を高めるという目的から、1からすべてを自社で開発する方式に代わり、適宜OSSを利用しながら開発を進める、マルチソース開発と呼ばれる方法が広まりつつある。ただこの場合、すべて自社開発で進める場合とは異なる、いくつかの課題に直面することになる。

　最も分かりやすいのは、OSSライセンス違反による訴訟というリスクだ。だが最近では「OSSも含めたマルチソース開発による複雑さをどのように解消するかが課題になりつつある。管理の重要性がいっそう増している」（イートン氏）という。つまり、OSSライセンスに準拠しているかどうかのチェックだけでなく、開発プロセスの管理／自動化やセキュリティ脆弱性のモニタといった部分まで考慮する必要がある。

　Black Duck Suiteは、こうした問題を解決するため、マルチソース開発におけるライフサイクル全体を支援する製品群だ。

　中心となるのは、ソースコードおよびバイナリを解析し、その中に含まれているOSSを洗い出す「Protex」だ。複数の解析・マッチング技術を組み合わせてOSSコードを見つけ出す独自技術「Code Print」と、同社が構築しているオープンソース情報を格納したデータベース「Knowledge Base」を組み合わせることにより、プログラムに含まれているOSSを高い精度で見つけるという。

　ただ文字列のみを追うのではなく、「スニペッツ（断片）」ごとにチェックを行う仕組みにより、「たとえ関数名だけを変更したり、ライセンス条文を省いたりといった小さな変更が加えられた場合でも検出することができる」（日本法人、ブラック・ダック・ソフトウェアの代表取締役、金承顕氏）。

　また「Code Center」では、企業それぞれのポリシーに沿って適切なコードを選択し、承認を行うことができる。ライセンスを順守しつつ、優れたコードの再利用を促進することで、マルチユーザーによるマルチソース開発を効率化する。

　さらにオプション製品の「Export」では、米国などが輸出禁止としている特殊な暗号が含まれていないかどうかを検査することができる。スイートにはほかにSDKも含まれており、自社で作成したツールとの統合が可能だ。

　Black Duck Suiteの価格は企業規模によって変わり、数百万円からを予定しているという。