テクマトリックス株式会社(本社：東京都港区、代表取締役社長：由利孝、以下「テクマトリックス」)と、FOSSID AB(本社：スウェーデン ストックホルム、最高経営責任者：Oskar Swirtum、以下「FOSSID社」、読み方：フォスアイディー)はFOSSID社が開発した、OSS(オープンソースソフトウェア)のセキュリティ脆弱性検出ツール「VulnSnippet Finder」(読み方：ヴァルン スニペット ファインダー)について、日本国内での販売を開始することを共同で発表します。

現在のソフトウェア開発において、OSS(オープンソースソフトウェア)は 不可欠な存在となりましたが、その一方で日々新しいセキュリティ脆弱性が報告されています。セキュリティ脆弱性を放置した場合、情報漏洩やWebサイト改ざんなど、企業に大きな打撃を与えるリスクが高まることが懸念されます。このようなリスクに対応するため、多くの企業ではOSSのセキュリティ脆弱性対策の一環として、その利用を厳密に管理する取り組みを行っています。FOSSID社も、OSSライセンス＆セキュリティ管理ツール「FOSSID」を提供し、企業におけるOSSの管理を支援してきました。

一般的なOSS管理ツールのセキュリティ脆弱性検出の仕組みは、ソースコードに含まれるオープンソースコンポーネントを識別し、公開リポジトリ(最も一般的には「National Vulnerability Database(NVD)」)のセキュリティ脆弱性リストとコンポーネント単位で照会するものです。しかし、多くの場合、セキュリティ脆弱性に関連しているのはコンポーネント内の一部のファイルであり、さらにその中のたった数行のコードが原因であるため、コンポーネント単位で照会する従来のOSS管理ツールではユーザーが使用していない部分のセキュリティ脆弱性についてもレポートがなされ、ユーザーは手動による仕分け作業に多くの時間を割かざるを得ない状況でした。

このたび販売を開始する「VulnSnippet Finder」は、コード行(スニペット)単位でFOSSIDナレッジベースと照合し、オープンソースコンポーネントや自社開発のソースコードに挿入されたオープンソースの一致個所を検索してセキュリティ脆弱性の原因になりうるコード行（スニペット）を検出します。 これにより、企業はソフトウェアの中にあるOSSのセキュリティ脆弱性を引き起こすコードスニペットを検出できるため、より正確に、迅速にOSSのセキュリティ脆弱性情報を確認することができます。

テクマトリックスとFOSSID社は、 以前より販売しているOSSライセンス&セキュリティ管理ツール「FOSSID」を「VulnSnippet Finder」と組み合わせた、より強固なOSS管理ソリューションの販売、マーケティング、ユーザーサポートなどの活動を推進してまいります。そして、FOSSID社は今後も「FOSSID」と「VulnSnippet Finder」の 機能拡張を重ね、企業のOSS活用を支援してまいります。

最後に、FOSSID社の最高経営責任者Oskar Swirtumは、日本における「VulnSnippet Finder」のリリースに、次のようにコメントしています。「オープンソースソフトウェア(OSS)はエンジニアによるコードの統合やサプライチェーンからのコード納入によって社内に入ってきます。多くの場合、OSSセキュリティ脆弱性はOSSプロジェクト内の数行だけに依存します。FOSSIDのVulnSnippet Finder(VSF)はOSSコンポーネントを脆弱にする特定の行を検知します。さらに、FOSSIDのVSFは、特定バージョンのOSSコンポーネントが有するセキュリティ脆弱性をすべて提示するのではなく、該当するコード内に存在するセキュリティ脆弱性のみを提示します。このFOSSIDのVSFの「OSSのセキュリティ脆弱性をコードレベルで検出する」機能は、おそらく、業界で初めての試みであり、OSSを利用している企業やプロジェクトのセキュリティ対策の一助になることを期待しております。」

VulnSnippet Finderの特長

オープンソースをコード行(スニペット)単位でFOSSIDナレッジベースと照合

オープンソースをコンポーネント単位で公開リポジトリと照会する従来のセキュリティスキャナーと異なり、VulnSnippet Finderでは、オープンソースをコード行(スニペット)単位でFOSSIDナレッジベースと照合し、オープンソースコンポーネントやソースコード内の一致個所を検索してセキュリティ脆弱性の原因になりうるコード行(スニペット)を検出します。そのため、従来のセキュリティスキャナーに比べて、より正確に、迅速にOSSのセキュリティ脆弱性情報を確認することができます。

豊富なセキュリティ脆弱性データを含むFOSSIDナレッジベースと照合

National Vulnerability Database(NVD)に加えて、Bugzillaなどのレポジトリもセキュリティ脆弱性情報のデータベースとして採用しています。

継続的インテグレーションに最適

特許取得済みのFOSSIDスキャンエンジンおよびオープンソースナレッジベースへのアドオンであり、FOSSIDのコマンドラインインターフェースから利用できます。コマンドひとつで脆弱なスニペットと照合し、該当コードをセキュリティ脆弱性の情報とともにJSON形式でレポートされます。

FOSSIDのGUI上からスキャンが可能

FOSSIDのGUI上から、対象のソースファイルをドラッグ＆ドロップするだけで、スキャンを実行できます。これにより、開発者はOSSを製品に組み込む前の段階から、セキュリティ脆弱性を引き起こすコードスニペットの有無を確認することができます。(※VulnSnippet FinderとFOSSIDのライセンスが必要です。)