OSSライセンス&セキュリティ管理ツール「FossID」

FossIDは、最新鋭のスキャニング エンジンと、膨大なオープンソース情報ナレッジベースに支えられた新しいOSSライセンス&セキュリティ管理ツールです。さまざまなプログラミング言語のファイルに対し、独自のコード検索アルゴリズムで高速にスキャンを行い、コードの派生元であるオープンソースを特定します。また、NIST(アメリカ国立標準技術研究所)で公開されるCVE(Common Vulnerabilities and Exposures:共通脆弱性識別子)情報に基づくOSSの脆弱性情報も表示し、OSSのセキュリティ対策が行えます。

部分的にコピーペーストしたOSSの情報が確認できるコードスニペット検出にも対応しているため、より正確で広範囲な情報を可視化します。また、正確なSBOM(Software Bill of Materials:ソフトウェア部品表)を作成し、SPDX形式など9種類のレポートを出力できます。

コードスニペットレベルで検出!OSS脆弱性・SBOM管理「FossID」

自動車、医療機器などソフトウェアにおいてSBOMの必要性が増している

OSSの適切な利用には、ライセンスの遵守、脆弱性への迅速な対応が重要です。利用しているOSSが分からなければ、ライセンスを守ることも脆弱性に対応することもできないため、対象のソフトウェアにおいて利用されているOSSを把握する必要があります。

SBOMとは、ソフトウェアの部品表です。SBOMを用いて利用しているOSSの把握、管理をすることでライセンスの遵守、脆弱性への迅速な対応を行うことができるようになります。SPDX、CycloneDXなどいくつかのフォーマットが存在し、これら共通フォーマットの利用により、継続的な管理、サプライチェーン全体を含めた把握、管理が実現できます。ソフトウェアサプライチェーンのリスク管理において重要であるとされ、近年注目を集めています。

レガシーコード、他社に開発委託したコードなどOSSは意図せず混入することがあります。また、検索して流用したコードがOSSの一部であった場合など、OSSの部分利用により、 対象のソフトウェアで利用されているOSSの特定を手作業で行うことは非常に困難と言えます。ソースコード内に含まれるOSSを特定し、SBOM作成を支援することができるツールの利用が有効と言えます。

FossIDのレポート機能では、9種類のレポーティングが可能です。SBOMの共通フォーマットとして注目されている、SPDX/SPDX-LiteやCycloneDXを出力できます。SBOM作成に、FossIDが有効です。

コードスニペットレベルで検出!OSS脆弱性・SBOM管理「FossID」

OSSライセンスコンプライアンスが重要な理由

オープンソースソフトウェア(OSS)は、誰でも自由にソースコードを無償で入手し、使用・改変・再配布ができるため、OSSをうまく利用することで、開発のスピードアップやコスト削減・開発の柔軟性など、さまざまなメリットが得られます。しかし、OSSの利用には約束(ライセンス)があります。OSSのライセンスを把握せずに、配布をしてしまったため、気が付いた時には著作権侵害をしていたという問題が突如発生するかもしれません。また、開発を外部に委託しており、そもそもOSSを利用していることを把握できていないケースもあります。製品開発サプライチェーンで関係するすべての企業がOSSのライセンス情報を提供することが必要です。

OSSは正しく活用すれば、製品開発において大きな競争力を得ることができます。一方でライセンス違反のリスク、脆弱性のリスクも存在します。OSSの適切な利用には、ライセンスの遵守、脆弱性への迅速な対応が重要です。 そこで、FossIDをおすすめします。

スキャン

さまざまなプログラミング言語のファイルに対し、独自のコード検索アルゴリズムで高速にスキャンを行い、コードの派生元であるオープンソースを特定します。さらに、部分的にコピー&ペーストしたOSSの情報が確認できるコードスニペット検出にも対応しているため、より正確で広範囲な情報を可視化します。

セキュリティ

NIST(アメリカ国立標準技術研究所)で公開されるCVE(Common Vulnerabilities and Exposures:共通脆弱性識別子)情報に基づく、OSSの脆弱性情報を表示し、早期にOSSのセキュリティ対策が行えます。また、セキュリティ脆弱性の原因となるコードスニペットを検出するオプション(VulnSnippet Finder)があります。

コンプライアンス

OSS検出時にライセンスを自動検出し、OSS利用で必須となるライセンス規約遵守をサポートします。OSSは活用機会が多くコードの改変も頻発するため、企業はオープンソースコンポーネントを識別したり、コンプライアンスを遵守したりする労力がかかります。FossIDはコンプライアンスリスクや管理作業を低減させます。

資料/セミナー/サービスのご案内

テクマトリックスでは、OSSライセンス&セキュリティ管理ツール「FossID」や、OSSライセンス・コンプライアンス、OSSガバナンス、マネジメントをサポートする各種サービスをご紹介します。

FossIDとは?紹介動画

OSS管理ツールFossIDがなぜ必要なのか?FossIDの各機能をピックアップしてご紹介した動画です。

OSS活用Tips集

オープンソースソフトウェア活用Tips集

テクマトリックスでは、ソフトウェアにおけるOSSの位置づけを説明しながら、企業としてOSSと上手につきあうための注意点や、OSSを利用したソフトウェア開発活動の価値を根付かせるTIPS集をご用意しました。

オープンソースソフトウェアを上手に利用する方法とは?

OSSを上手に利用する方法とは?

OSS活用をご紹介する各種セミナーを実施しています。また、複雑なソフトウェアに含まれるOSSのライセンスと脆弱性を管理することができるOSS管理ツールの「FossID」をデモンストレーションを交えて紹介します。

テクマトリックスSBOMレポーティンサービス

OSSのライセンス情報および脆弱性情報が確認できる

テクマトリックスでは製品に含まれる OSS情報をレポートするSBOMレポーティングサービスをご用意しました。 OSS検出には、OSSライセンス&セキュリティ管理ツール「FossID」を 用いるため、意図せずソフトウェア内に混入したOSSのコードスニペットも 検出・レポート可能です。

FossID・CI環境構築サービス

FossIDをすぐに使える環境を構築します!CI環境構築サービス

FossIDを導入したらすぐにでも使いたい!しかし業務が忙しく環境を構築している暇がない、自動でスキャンが行えるように実行を自動化したいが構築のノウハウがない、調査する時間がないということはないでしょうか?テクマトリックスでは導入後すぐにご利用いただけるように環境構築サービスをご提供します。FossIDの環境セットアップはもちろん、自動で解析を行うためのCI環境の構築も可能です。

OSSガイドラインコンサルティングサービス

全社的なオープンソース戦略、ポリシーおよびプロセスの策定に必要な要素を網羅

OSSコンプライアンス管理は、OSSガイドラインの策定や開発者への教育など、組織で規律を持ち、マネジメントしていくことが不可欠です。OSSライセンス&セキュリティ管理ツール「FossID」とあわせて、OSS管理・活用のためのガイドライン作成や教育サービスをご提案します。

ソニーグループ様が語る!組織的なOSS管理を担うOSPOとは~サイバーセキュリティ対策の強化とSBOMの最新動向~

2023年10月12日に実施したOSSコンプライアンスセミナーの講演動画+講演資料を提供中です。

OSSコンプライアンスセミナー