日立ソリューションズは2019年5月16日、アプリケーション開発の際にオープンソースソフトウェア(OSS)を安全に活用できるようにするコンサルティングサービス「オープンソース管理ソリューション」を強化すると発表した。OSSの脆弱性を検査するツールの種類を増やし、業務システムの規模や開発体制を問わずに検査できるようにした。2つのツールは、2019年5月17日から提供する。価格は、個別見積もり。
日立ソリューションズのオープンソース管理ソリューションは、業務システムに含まれているOSSを特定し、既知の脆弱性を含んだコードが使われているかどうかを調べて指摘するコンサルティングサービスである(図1)。OSSの監査ツールを用いてOSSの利用状況と脆弱性を調べ、これを報告する。同サービスを利用することによって、OSSのライセンス違反や脆弱性のリスクを軽減できる。
図1:オープンソース管理ソリューションの概要。OSS監査ツールのBlack Duckなどを用いて、業務システムに含まれるOSSを検出し、ライセンス違反や脆弱性リスクなどを調査する。今回、OSS監査ツールを増やし、Black Duck、WhiteSource、Insignary Clarityの3つを使えるようにした。これにより、システムの規模などを問わずに監査できるようにした(出典:日立ソリューションズ) 日立ソリューションズはこれまで、OSSの監査ツールとして、米Synopsysの「Black Duck」を利用してきた(関連記事:業務アプリの67%にオープンソースの脆弱性─Black Duckが報告)。Black Duckの特徴は「大規模でクリティカルなソフトウェア開発に適用できること」(同社)である。
今回、大規模だけでなく、中小規模のソフトウェア開発でも手軽に利用できるように、より安価に利用できるクラウドサービス型のOSS監査ツール「WhiteSource」(イスラエルWhiteSource Software製)を追加した(関連記事:OSSに由来する脆弱性を調べてレポート化するスポットサービス、マインドが提供)。
WhiteSourceはクラウドサービスだが、利用にあたっては専用のエージェントソフトを解析対象システムに導入する。ソースコードそのものはクラウドに送らず、OSSのファイルのハッシュ値を基にした識別子をクラウドに送ってデータベースと照合する仕組み。
さらに、複数の企業による共同開発などでソースコードを共有しないケースに向けた新ツール「Insignary Clarity」(韓国Insignary製)も追加した。バイナリファイルに含まれるOSSを検出し、ライセンス違反や脆弱性リスクを可視化する。
今回、2つの新ツールを追加したことで、OSSの利用状況と脆弱性を調べるツールが3つに増えた。これにより、規模や開発体制を問わずに業務システムに含まれるOSSの脆弱性を管理できるようになった。
