マインドは2018年1月24日、オープンソースソフトウェア(OSS)を活用したアプリケーションプログラムの品質をレポート化するサービス「White Reports」を発表、同日提供を開始した。どのようなOSSを使っているのかを調べ、OSSに由来する脆弱性やバグ、OSSライセンスの種類などをレポートする。価格(税別)は1回あたり18万8000円。
OSSを含んだアプリケーションの品質を調査してレポートを作成するスポットサービスである。どんなOSSを利用しているのかを調べ、これをOSSの情報を登録したデータベースと照合することによって、利用しているOSSに由来する脆弱性や解決策をリストアップする。別途有料で、レポートによって発覚したリスクに対しての相談や対応方法の提案も行う。
拡大画像表示
調査のためのツールとして、イスラエルのWhiteSourceが開発しGDEPソリューションズが国内で販売している年額性のクラウドサービス「WhiteSource」を利用する。今回マインドが提供するWhite Reportsは、WhiteSourceをスポットサービスとして利用できるサービスである。WhiteSourceは年額99万8000円からだが、White Reportsは1回あたり18万8000円で利用できる。
WhiteSourceがOSSと脆弱性の検知に利用するデータベースには、検出できるOSSとして300万個のコンポーネントと7000万個のソースファイルを登録している。セキュリティに関する脆弱性は約23万件を登録している。このデータベースを基に脆弱性を検知する。
WhiteSourceはクラウドサービスだが、利用にあたっては専用のエージェントソフトを解析対象システムに導入する。ソースコードそのものはクラウドに送らず、OSSのファイルのハッシュ値を基にした識別子をクラウドに送ってデータベースと照合する仕組み。
WhiteSourceが解析の対象とするファイル拡張子は、以下の通り。ソースファイルは、c、cc、cp、cpp、cxx、c++、go、goc、h、hpp、hxx、m、mm、c#、cs、csharp、java、js、php、py、rb、swift、java。バイナリファイルは、jar、aar、dll、tar.gz、egg、whl、rpm、tar.bz2、tgz、deb、gzip、gem、swf、swc。アーカイブファイルは、jar、war、ear、sca、gem、whl、egg、tar、tar.gz、tgz、zip、rar、tar.xz。