[新製品・サービス]

2019年5月16日(木)日川 佳三（IT Leaders編集部）

リスト

　日立ソリューションズのオープンソース管理ソリューションは、業務システムに含まれているOSSを特定し、既知の脆弱性を含んだコードが使われているかどうかを調べて指摘するコンサルティングサービスである（図1）。OSSの監査ツールを用いてOSSの利用状況と脆弱性を調べ、これを報告する。同サービスを利用することによって、OSSのライセンス違反や脆弱性のリスクを軽減できる。

図1：オープンソース管理ソリューションの概要。OSS監査ツールのBlack Duckなどを用いて、業務システムに含まれるOSSを検出し、ライセンス違反や脆弱性リスクなどを調査する。今回、OSS監査ツールを増やし、Black Duck、WhiteSource、Insignary Clarityの3つを使えるようにした。これにより、システムの規模などを問わずに監査できるようにした（出典：日立ソリューションズ）

　日立ソリューションズはこれまで、OSSの監査ツールとして、米Synopsysの「Black Duck」を利用してきた（関連記事：業務アプリの67％にオープンソースの脆弱性─Black Duckが報告）。Black Duckの特徴は「大規模でクリティカルなソフトウェア開発に適用できること」（同社）である。

　今回、大規模だけでなく、中小規模のソフトウェア開発でも手軽に利用できるように、より安価に利用できるクラウドサービス型のOSS監査ツール「WhiteSource」（イスラエルWhiteSource Software製）を追加した（関連記事：OSSに由来する脆弱性を調べてレポート化するスポットサービス、マインドが提供）。

　WhiteSourceはクラウドサービスだが、利用にあたっては専用のエージェントソフトを解析対象システムに導入する。ソースコードそのものはクラウドに送らず、OSSのファイルのハッシュ値を基にした識別子をクラウドに送ってデータベースと照合する仕組み。

　さらに、複数の企業による共同開発などでソースコードを共有しないケースに向けた新ツール「Insignary Clarity」（韓国Insignary製）も追加した。バイナリファイルに含まれるOSSを検出し、ライセンス違反や脆弱性リスクを可視化する。

　今回、2つの新ツールを追加したことで、OSSの利用状況と脆弱性を調べるツールが3つに増えた。これにより、規模や開発体制を問わずに業務システムに含まれるOSSの脆弱性を管理できるようになった。