流用したOSSコードのライセンスや脆弱性を高速検索、テクマトリックスが管理ツール発売約70億件のソースコードと比較

テクマトリックスは、自社開発のソースコードに流用されているオープンソースソフトウェアを検出し、そのライセンスポリシーやセキュリティ脆弱(ぜいじゃく)性などを確認できるツール「FOSSID」の販売を開始した。

» 2018年10月01日 08時00分 公開
[@IT]

 テクマトリックスは2018年9月27日、スウェーデンFOSSID ABが開発した、自社開発ソフトウェア向けのライセンス/セキュリティ管理ツール「FOSSID」の販売を開始すると発表した。自社開発したソフトウェアのソースコードに流用されているオープンソースソフトウェア(OSS)を検出し、そのライセンスポリシーやセキュリティ脆弱(ぜいじゃく)性などを確認できる。

スウェーデンFOSSID ABのWebページ

 FOSSIDはOSSのナレッジベースを備えており、各種プログラミング言語で書かれたソースファイルに流用されているOSSを、独自のアルゴリズムで特定する。OSSのコードの一部をコピー、ペーストしたり、改編したりした場合でも、基になったOSSを確認できるコードスニペット検出にも対応する。

 OSSのプロジェクトはフォーク(別のプロジェクトへの分岐)することが珍しくないため、OSSを利用したコードがどのプロジェクトから派生したのか分からないと、検出結果が膨れあがる恐れがある。FOSSIDはこうしたノイズを排除し、ユーザーが利用しているOSSコードの起点を識別できるスキャン結果レポートを表示する。

 それに加え、米国立標準技術研究所(NIST)が公開するCVE(Common Vulnerabilities and Exposures:共通脆弱性識別子)に基づいて、コードの流用元OSSの脆弱性情報も表示する。

 FOSSIDは3700万件以上のオープンソースプロジェクトに関する70億以上のソースファイルと5000億以上のコードスニペット情報を格納したナレッジベースを利用する。

コード品質管理の一貫として利用可能

 開発工数を低減するため、独自ソフトウェアの開発にOSSを利用する例が増加しているものの、むやみに利用すると、OSSのライセンスポリシーに違反したり、脆弱性を含んだコードを取り込んだりする恐れがある。FOSSIDを利用することで、開発中のソフトウェアにOSSを利用しているかどうかが一目で確認でき、ライセンスポリシーやセキュリティリスクを把握できるようになる。このため、コード品質管理ツールとして有用だという。

 FOSSIDの提供形態は2つあり、一つはSaaS(Software as a Service)形態の「レギュラー」、もう一つはユーザーのオンプレミスシステムで利用する「オフライン」である。

 いずれも自社開発のソースコードをネットワークにアップロードすることはない。レギュラーでは最新のナレッジベースを利用でき、オフラインではオンプレミスサーバに格納したナレッジベースを利用する。このナレッジベースはミラーサーバを介して定期的にアップデートされる。

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。