日立ソリューションズは2020年6月23日、アプリケーション開発におけるオープンソースソフトウェア(OSS)の利用状況を把握するためのクラウドサービス「FOSSA(フォッサ)」(開発元:米FOSSA)を発表した。同年6月24日から販売する。意図しないOSSの混入や脆弱性を含んだコンポーネントの利用などを検知する。価格はユーザー数に応じて個別見積もり。
日立ソリューションズの「FOSSA」は、アプリケーション開発におけるオープンソースソフトウェア(OSS)の利用状況を把握するためのクラウドサービスである。ソフトウェアのソースコードを解析し、開発者が意図していないOSSの混入や、脆弱性を含んだコンポーネントの利用、指定範囲外バージョンの利用の有無などを可視化してレポートする。
利用しているOSS一覧や、コンポーネントの親子関係、著作権表示などのデータを、PDF、マークダウン、JSONなどの形式で出力できる。これにより、コンポーネントの依存関係を視覚的に把握できる。問題が発生した際は、影響範囲を整理し、改善に向けて対応できる。
クラウドサービスの形で提供する。これにより、既存の開発環境および開発プロセスに対して、迅速にOSS管理ツールを導入できる。テレワーク環境下のソフトウェア開発にも適用できる。規模を問うことなく導入できるとしている。
検査対象となるソースコードは、クラウドにアップロードする必要がない。このため、セキュリティの都合上、ソースコードを社外に持ち出せないケースでも問題なく運用できる。
サービス提供の背景について同社は、ソフトウェアやサービスを迅速にリリースするため、OSSを利用する企業が増えている状況を挙げる。「一方、多くの企業ではOSSライセンスの理解不足によるコンプライアンスリスクや、OSSの脆弱性を狙った攻撃による情報漏洩などのセキュリティリスクが課題となっている」(同社)。
