OSSセキュリティ&コンプライアンス管理ツール WhiteSource

OSSのライセンス違反やセキュリティリスクを管理

WhiteSourceは、ソフトウェア中のOSS(オープンソース)を検出し、その利用状況をモニター。OSSのライセンス違反やセキュリティリスク・脆弱性、バグやアップデート情報をレポートします。WhiteSourceでソフトウェア中のOSSを把握することにより、OSS利用の安全性を確保できます。

  • ソフトウェア品質保証
  • ソフトウェア品質向上
  • セキュリティ
  • ライセンス違反

ソフトウェア中に使用されているOSS(オープンソース)を管理できていますか?


ソフトウェアには多くのOSS(オープンソース)が使用されています。OSSの利用は、開発工数の圧縮など多くのメリットがある反面、リスクも少なくありません。たとえば、OSSの利用規約に違反していたり、重大なバグを含んでいたり、セキュリティ脆弱性があったり、といったリスクです。WhiteSourceは、ソフトウェア内のOSSを管理・モニターし、OSSを利用したソフトウェア開発のリスク回避をサポートします。

WhiteSourceのデータベースには、300万のコンポーネントと7000万のソースファイルのOSSの情報が登録されており、継続的に更新されています。また、セキュリティ脆弱性についても、複数の第三者のOSSデータベースと連携しており、23万以上の脆弱性の情報が登録されています。このWhiteSourceデータベースにある情報とユーザーソフトウェアに含まれるOSSの情報を照合し、OSSの検出ライセンス違反の検出アップデートの有無セキュリティ脆弱性の検出などの解析結果をレポートします。
また、WhiteSourceでは、誤検出を回避するための独自アルゴリズムを開発し、精度の高いマッチングを実現しています。

OSS(オープンソース)の検出

WhiteSourceDockerコンテナを含む20以上のプログラミング言語とプラットフォームに対応しており、ソフトウェア内のOSSを検出します。
ソフトウェア内で使用されているOSSについて、300万コンポーネント/ 7,000万ソースファイルのオープンソースライブラリが登録されているWhiteSourceのデータベースと照合し、問題が報告されていないか、ライセンス違反をしていないかをトラッキングし、レポートします。

OSS(オープンソース)の検出

OSSのセキュリティリスクの検出

NVD (National Vulnerability Database:NIST脆弱性情報データベース)データベースや、RubyOnRails Security、RetireJSからのセキュリティ勧告、GitHubイシュートラッカーやオープンソースプロジェクトのバグトラッカーを継続的に追跡し、WhiteSource内にセキュリティに関するデータベースを構築・更新。ソフトウェアに含まれるOSSについて、WhiteSourceのデータベースと照合し、セキュリティリスクが報告されていないかをトラッキングし、レポートします。

OSSのセキュリティリスクの検出

OSSのライセンス違反の検出

OSSには、個々に利用規約があり、その条件はさまざまです。WhiteSourceは、ソフトウェアに含まれるOSSについて、ライセンス違反をおこしていないかチェックし、レポートします。また、企業のライセンスポリシーとして自動的に承認するライセンスのリストや自動的に拒否するライセンスのリスト、条件で判断するリストをWhiteSourceに登録し、トラッキングすることも可能です。

OSSのライセンス違反の検出

 

OSSのバグ追跡、リアルタイムアラート

WhiteSourceはオープンソースプロジェクトのバグトラッカーを継続的に追跡し、各ライブラリバージョンのセキュリティとバグの情報を収集しています。OSSで発見された深刻なバグをリアルタイムで警告し、そのバグがそれ以降のバージョンで修正されたかについても通知します。これらの情報は、使用するOSSのバージョンの決定や、アップグレードの適用の決定に大いに役立ちます。
また、バグの重大度に基づいて分類されており、ワンクリックで製品別や重大度別のレポートを生成できます。さらに、バグの量・重大度、修正されたバグの数、コミット数などから、OSSのバージョンについての品質スコアもレポートします。

OSS(オープンソース)のバグ追跡、リアルタイムにアラート

WhiteSourceの仕組み

WhiteSourceの仕組み

WhiteSourceは、SaaSとして提供されます。
開発環境に配置したエージェントがローカルまたはリポジトリ上のソースコード内、バイナリコード内のファイルに対する独自の識別子(UID)を計算し、このUIDがクラウド上にあるWhiteSourceサーバーに送信されます。WhiteSourceサーバーにソースコードが転送されることはありません。
クラウド上のWhiteSourceサーバーでは、UIDをWhiteSourceのOSSマスターデータベースとマッチングし、OSSと認識されたものに対して、ライセンス、セキュリティ、アップデートといった解析データをユーザーに提供します。また、エージェントとサーバー間の通信はTLS(HTTPS)が使用されており、安全性を確保しています。

※SaaSではなく、オンプレミスでの利用をご希望の場合は、お問い合わせください。

DevOpsツールプラグインにより、WhiteSourceによる検証を自動化

WhiteSourceは、GitHubやDocker、JenkinsといったDevOpsツールのプラグインを提供しています。ビルドのたびにWhiteSourceでの検証を自動実行する環境を整備することにより、OSSの使用に対するリスクを開発の早い段階で確認でき、迅速な対応が可能になります。 開発プロセスにWhiteSourceによる自動検証を組み込むことにより、セキュリティ品質の向上とスピーディーな開発、修正コストの削減が期待できます。

OSSセキュリティ&コンプライアンス管理ツール WhiteSourceに
関するお問い合わせ

  • テクマトリックス株式会社
    東京本社

    システムエンジニアリング事業部
    ソフトウェアエンジニアリング営業部

    03-4405-7853

メールでのお問い合わせ
se-info@techmatrix.co.jp

CONTACT

製品についてやテクマトリックスについてなど、
こちらよりお気軽にお問い合わせいただけます。