前編ではWhiteSourceのおさらいをしました。ここからはWhiteSourceによる、オープンソースソフトウェア（OSS）の脆弱性対応状況やライセンス情報の管理について紹介します。

アラートの確認

WhiteSourceでは、標準で次の内容に合致するOSSをアラートリストに表示します。また初期設定として、毎週、組織の管理者に対してアラートの検出結果をメールで通知します。

• 新しいバージョンが存在する
• 脆弱性を含む
• ポリシー違反
• バグを含む
• 複数のライセンスを含む
• 複数のバージョンを含む
• リクエスト差し戻し済み

ダッシュボードからアラートの統計情報が確認でき（図1⁠）⁠、アラート一覧画面から個々のアラート情報を精査することができます。

脆弱性対応のサポート

WhiteSourceでは、OSSの脆弱性情報として、CVE番号、脆弱性がFixしたバージョンなどを確認することができます。また、ベンダからの脆弱性対応方法の提案を確認することもできます（図2⁠）⁠。これらの情報を参考に脆弱性を含むOSSについて、どのように対応するかを検討できます。

ライセンスの確認

ダッシュボードにて、ライセンスの統計情報を確認することができます（図3⁠）⁠。

インベントリの整理

WhiteSourceは検出したOSSをすべてインベントリとして登録します。

インベントリ一覧では、次のような振り分け設定を使ってOSSを分類・整理することができます。

Set Attribute Value

WhiteSourceの管理画面にて任意の属性項目を定義し、OSSに対して属性情報を追加することができます。設定した属性情報はOSSの詳細画面にて確認でき、参考情報として利用できます

Mark as in-House

自社内で作成したライブラリが検出された際、内製のライブラリとしてマークします

Add to Whitelist

OSSをWhitelistに追加して確認対象から除外します

Assign License

WhiteSourceでライセンスの識別ができなかった場合、手動でライセンスを割り当てることができます

Request Resolution

WhiteSourceでライセンスの識別ができない原因として、WhiteSourceのデータベースにOSSの情報が登録されていない場合があります。ライセンスが特定できなかったOSSに対して、Request Resolutionを実行することにより、WhiteSource社にOSSの調査とデータベース登録を依頼することができます

最後に

OSSの発展と普及が進む中、WhiteSourceを活用することにより、OSSの利用に伴うさまざまな不安やリスクを解消でき、新しい技術を使ったアプリケーション開発を円滑に遂行することが可能になります。

日本だけでなく、アジア圏でもアトラシアン製品販売のトップエキスパートであるリックソフトのWebサイトでは、各アトラシアン製品の体験版を提供しているほか、アトラシアン製品専用のコミュニティも運営しています。まずはアクセスしてみては！

• https://www.ricksoft.jp/

本誌最新号をチェック！
Software Design 2025年4月号

2025年3月18日発売
B5判／176ページ
定価1,562円
（本体1,420円＋税10%）

• 第1特集
  ドメイン知識とどう付き合うのか？
  技術でビジネスの成長を支えるために
• 第2特集
  公式リファレンス・man・RFCの歩き方
  一次情報を的確に読み取るコツとワザ
• 短期連載
  ローコード開発ツール「プリザンター」
  【2】フロントエンドのカスタマイズとAPIの利用
• 短期連載
  乱数のひみつ
  【2】擬似乱数生成器の性質としくみ