日立ソリューションズは2020年6月23日、アプリケーション開発におけるオープンソース(OSS)の利用状況を把握できるクラウドサービス「FOSSA(フォッサ)」を発表した。意図しないOSSの混入や脆弱性を含んだコンポーネントの利用などを検知できる。2020年6月24日から販売する。開発会社は、米FOSSA。価格は、ユーザー数に応じて個別見積もり。
FOSSAは、アプリケーション開発におけるオープンソース(OSS)の利用状況を把握できるクラウドサービスである。ソフトウェアのソースコードを解析し、開発者が意図していないOSSの混入や、脆弱性を含んだコンポーネントの利用、指定範囲外バージョンの利用の有無、――などを可視化してレポートする
利用しているOSS一覧や、コンポーネントの親子関係、著作権表示などのデータを、PDF、マークダウン、JSONなどの形式で出力できる。これにより、コンポーネントの依存関係を視覚的に把握できる。問題が発生した際は、影響範囲を整理し、改善に向けて対応できる。
クラウドサービスの形で提供する。これにより、既存の開発環境および開発プロセスに対して、迅速にOSS管理ツールを導入できる。テレワーク環境下のソフトウェア開発にも適用できる。規模を問うことなく導入できるとしている。
検査対象となるソースコードは、クラウドにアップロードする必要がない。このため、セキュリティの都合上、ソースコードを社外に持ち出せないケースでも問題なく運用できる。
背景には、ソフトウェアやサービスを迅速にリリースするため、OSSを利用する企業が増えている状況がある。しかし、多くの企業ではOSSライセンスの理解不足によるコンプライアンスリスクや、OSSの脆弱性を狙った攻撃による情報漏洩などのセキュリティリスクが課題となっている。