gihyo.jpサイトのロゴ

コードの安全性・安定性を高める開発サイクル ~テスト管理の効率を上げ、脆弱性診断を自動で行う~

第5回OSSの脆弱性とコンプライアンス違反に対応するには(前編)

2019-10-18

はじめに

第3回、第4回の「WhiteSource+Jiraの連携でDevSecOpsをやってみよう前編⁠、後編⁠」では、WhiteSourceのコンポジション解析の実行方法について、ツールの設定を交えて紹介しました。今回は、WhiteSourceを使ってオープンソースソフトウェア(OSS)をどのように管理することができるか、運用面にフォーカスを当てて説明します。

最初にWhiteSourceについてご存じない方のために、製品概要を簡単に紹介します。

WhiteSourceはイスラエル製のコンポジション解析ツールで、開発プロジェクトで利用しているOSSコンポーネントを検出し、脆弱性、バグなどの品質、およびライセンスを解析するツールです。

ソフトウェア開発におけるOSSの利用は、2000年頃から右肩上がりに増加しており、現在では商用ソフトウェアの60~80%はOSSで構成されていると言われています。

OSSは無償で提供されており、システム要件に合わせて独自の改変を行うこともできるため、OSSを活用して最新の技術を使った効率的な開発が実現でき、総合的なコスト削減を図ることができます。

一方、ソースコードが公開されていることから、脆弱性を突いた攻撃が後を絶たないため、OSSの品質、脆弱性に対して、バージョンアップやパッチ当てなどの対応が必要となります。また、OSSには多様なライセンス形態があり、ライセンスの理解不足から、意図せずライセンス規約に違反するような利用をしてしまうケースもあります。このようなコンプライアンス上の問題は、企業の信頼性を大きく損なうことにつながります。

WhiteSourceは、企業がOSSとうまく付き合っていくために次のような機能と特長を備えています。

1.SaaS環境の利用

ソースコードなどの機密性が高い情報はWhiteSourceサーバに送信されないため、安心してSaaS環境を利用できます

2.低コスト

競合製品と比較して、ライセンス価格帯が低く抑えられています

3.設定が容易

コマンドライン実行型の解析ツール(Unified Agent)を使って簡単に解析を実行できます

4.問題の早期検出

CIツールなどと連携することにより、脆弱性やライセンスのコンプライアンス違反を早期に検出できます。開発プロセスの早いタイミングで問題に対応できるため、改修コストを抑えられます

製品の構成

WhiteSourceは組織>製品>プロジェクトの3階層構成となっており、組織ごとにマルチテナント方式で解析結果を管理できます。

たとえば、親会社でWhiteSourceのサブスクリプションライセンスを購入して、複数のグループ会社ごとに組織を作成し、組織ごとにユーザを管理することができます。製品の解析結果は、組織に登録されているユーザだけが閲覧できるしくみになっています。

ポリシー設定

OSSの利用にあたり、最初に利用可能なOSSライセンスなどのポリシーを明確化しておくことが肝要です。WhiteSourceでは、組織、製品、プロジェクトのそれぞれに対して、ポリシーを設定することができます。

ポリシー設定は組織>製品>プロジェクトの順にオーバーライドされる仕様なので、組織としての大まかなポリシー設定を行ったうえで、製品やプロジェクト固有のポリシーを設定できます。

ポリシーに合致するOSSを検出した際、アラートとして通知したり図1⁠、JiraなどのIssue管理ツールに対してIssueを起票したりできます図2図3⁠。

図1 アラート通知の例(GPLライセンスのOSSが検出された際、Reject)
図1 アラート通知の例(GPLライセンスのOSSが検出された際、Reject)
図2 Issue起票の例(Highレベルの脆弱性が検出された際、JiraにIssueを起票)
図2 Issue起票の例(Highレベルの脆弱性が検出された際、JiraにIssueを起票)
図3 Jira Issue詳細
図3 Jira Issue詳細

前編はほとんどWhiteSourceのおさらいになってしまいましたが、後編では、どのようにしてOSSの脆弱性やコンプライアンス違反を調査・管理していくのかを紹介します。

米国Atlassianから、2年連続で
「Top new business APAC」を受賞。
Atlassianセールスパートナーとして
アジアパシフィックで1位の証
米国Atlassianから、2年連続で「Top new business APAC」を受賞。Atlassianセールスパートナーとしてアジアパシフィックで1位の証

日本だけでなく、アジア圏でもアトラシアン製品販売のトップエキスパートであるリックソフトのWebサイトでは、各アトラシアン製品の体験版を提供しているほか、アトラシアン製品専用のコミュニティも運営しています。まずはアクセスしてみては!

Software Design

本誌最新号をチェック!
Software Design 2022年9月号

2022年8月18日発売
B5判/192ページ
定価1,342円
(本体1,220円+税10%)

  • 第1特集
    MySQL アプリ開発者の必修5科目
    不意なトラブルに困らないためのRDB基礎知識
  • 第2特集
    「知りたい」「使いたい」「発信したい」をかなえる
    OSSソースコードリーディングのススメ
  • 特別企画
    企業のシステムを支えるOSとエコシステムの全貌
    [特別企画]Red Hat Enterprise Linux 9最新ガイド
  • 短期連載
    今さら聞けないSSH
    [前編]リモートログインとコマンドの実行
  • 短期連載
    MySQLで学ぶ文字コード
    [最終回]文字コードのハマりどころTips集
  • 短期連載
    新生「Ansible」徹底解説
    [4]Playbookの実行環境(基礎編)

おすすめ記事

記事・ニュース一覧