コードの安全性・安定性を高める開発サイクル ~テスト管理の効率を上げ、脆弱性診断を自動で行う~

第6回OSSの脆弱性とコンプライアンス違反に対応するには(後編)

前編ではWhiteSourceのおさらいをしました。ここからはWhiteSourceによる、オープンソースソフトウェア(OSS)の脆弱性対応状況やライセンス情報の管理について紹介します。

アラートの確認

WhiteSourceでは、標準で次の内容に合致するOSSをアラートリストに表示します。また初期設定として、毎週、組織の管理者に対してアラートの検出結果をメールで通知します。

  • 新しいバージョンが存在する
  • 脆弱性を含む
  • ポリシー違反
  • バグを含む
  • 複数のライセンスを含む
  • 複数のバージョンを含む
  • リクエスト差し戻し済み

ダッシュボードからアラートの統計情報が確認でき図1⁠、アラート一覧画面から個々のアラート情報を精査することができます。

図1 アラート統計
図1 アラート統計

脆弱性対応のサポート

WhiteSourceでは、OSSの脆弱性情報として、CVE番号、脆弱性がFixしたバージョンなどを確認することができます。また、ベンダからの脆弱性対応方法の提案を確認することもできます図2⁠。これらの情報を参考に脆弱性を含むOSSについて、どのように対応するかを検討できます。

図2 ベンダからの脆弱性対応方法の提案
図2 ベンダからの脆弱性対応方法の提案

ライセンスの確認

ダッシュボードにて、ライセンスの統計情報を確認することができます図3⁠。

図3 ライセンスの統計情報
図3 ライセンスの統計情報
統計結果に表示されている個々のライセンス情報はすべてリンクとなっており、ライセンスをクリックすると該当ライセンスが含まれるOSSの一覧画面が表示されます。また、ライセンスの詳細情報として、著作権、特許などの情報、および利用リスクに応じたリスクスコアを確認できます。

インベントリの整理

WhiteSourceは検出したOSSをすべてインベントリとして登録します。

インベントリ一覧では、次のような振り分け設定を使ってOSSを分類・整理することができます。

Set Attribute Value
WhiteSourceの管理画面にて任意の属性項目を定義し、OSSに対して属性情報を追加することができます。設定した属性情報はOSSの詳細画面にて確認でき、参考情報として利用できます
Mark as in-House
自社内で作成したライブラリが検出された際、内製のライブラリとしてマークします
Add to Whitelist
OSSをWhitelistに追加して確認対象から除外します
Assign License
WhiteSourceでライセンスの識別ができなかった場合、手動でライセンスを割り当てることができます
Request Resolution
WhiteSourceでライセンスの識別ができない原因として、WhiteSourceのデータベースにOSSの情報が登録されていない場合があります。ライセンスが特定できなかったOSSに対して、Request Resolutionを実行することにより、WhiteSource社にOSSの調査とデータベース登録を依頼することができます

最後に

OSSの発展と普及が進む中、WhiteSourceを活用することにより、OSSの利用に伴うさまざまな不安やリスクを解消でき、新しい技術を使ったアプリケーション開発を円滑に遂行することが可能になります。

米国Atlassianから、2年連続で
「Top new business APAC」を受賞。
Atlassianセールスパートナーとして
アジアパシフィックで1位の証
米国Atlassianから、2年連続で「Top new business APAC」を受賞。Atlassianセールスパートナーとしてアジアパシフィックで1位の証

日本だけでなく、アジア圏でもアトラシアン製品販売のトップエキスパートであるリックソフトのWebサイトでは、各アトラシアン製品の体験版を提供しているほか、アトラシアン製品専用のコミュニティも運営しています。まずはアクセスしてみては!

Software Design

本誌最新号をチェック!
Software Design 2022年9月号

2022年8月18日発売
B5判/192ページ
定価1,342円
(本体1,220円+税10%)

  • 第1特集
    MySQL アプリ開発者の必修5科目
    不意なトラブルに困らないためのRDB基礎知識
  • 第2特集
    「知りたい」「使いたい」「発信したい」をかなえる
    OSSソースコードリーディングのススメ
  • 特別企画
    企業のシステムを支えるOSとエコシステムの全貌
    [特別企画]Red Hat Enterprise Linux 9最新ガイド
  • 短期連載
    今さら聞けないSSH
    [前編]リモートログインとコマンドの実行
  • 短期連載
    MySQLで学ぶ文字コード
    [最終回]文字コードのハマりどころTips集
  • 短期連載
    新生「Ansible」徹底解説
    [4]Playbookの実行環境(基礎編)

おすすめ記事

記事・ニュース一覧