リックソフトは2020年8月3日、オープンソースソフトウェア(OSS)の脆弱性を検査するツール「WhiteSource」をスポット型で利用できる「One Time Auditライセンス」の販売を開始した。これまでは自社システムを対象とする年額制のサブスクリプションライセンスを提供してきたが、顧客システムを対象としたスポット利用ライセンスを追加した。スポットライセンスでは、サービス開始から7日間に限り、スキャン回数5回まで利用できる。WhiteSourceの開発会社は、イスラエルのWhiteSource。
WhiteSourceは、オープンソースソフトウェア(OSS)を含んだアプリケーションプログラムの品質を調査してレポートを作成するサービスである。どのようなOSSを使っているのかを調べ、これをOSSの情報を登録したデータベースと照合する。こうして、利用しているOSSに由来する脆弱性やバグ、OSSライセンスの種類、解決策などをリストアップする。
WhiteSourceの脆弱性データベースには、17万6000件を超える脆弱性情報が載っている。バイナリとソースコードを対象に、200種類以上のプログラム言語をカバーする。Dockerコンテナとして配備したソフトウェアの脆弱性も検出する。
クラウド(SaaS)またはオンプレミス環境で利用できる。利用にあたっては、専用のエージェントソフトウェアを解析対象システムに導入して使う。ソースコードそのものはサーバーに送らず、OSSのファイルのハッシュ値を基にした識別子を送ってデータベースと照合する。
リックソフトは従来、WhiteSourceについて、年額制のサブスクリプションライセンスを提供してきた。対象は自社システムであり、SIベンダーが顧客のシステムの脆弱性を検査する用途には使えなかった。今回、顧客システムを対象にスポット利用型で利用できるライセンスを追加した(図1)。
図1:OSS脆弱性検査ツール「WhiteSource」のスポット利用ライセンスの用途。SIベンダーが顧客向けに構築したシステムの脆弱性をスポット的に検査できる(出典:リックソフト)拡大画像表示
新たに追加したスポットライセンスでは、サービス開始から7日間に限り、スキャン回数5回まで利用できる。
