OSSセキュリティ&コンプライアンス管理ツール WhiteSource

OSSのセキュリティ脆弱性、ライセンス、品質(バグ・アップデートなど)を解析

WhiteSourceは、ソフトウェア中のOSS(オープンソース)について、セキュリティ脆弱性やバグ・アップデートの有無など、OSSを利用したソフトウェア開発に潜むさまざまなリスクを解析し、リアルタイムに、かつ、タイムリーにレポートします。WhiteSourceでソフトウェア中のOSSを把握することにより、OSS利用の安全性を確保できます。

  • ソフトウェア品質保証
  • ソフトウェア品質向上
  • セキュリティ

ソフトウェア中に使用されているOSS(オープンソース)を管理できていますか?


ソフトウェアには多くのOSS(オープンソース)が使用されています。OSSの利用は、開発工数の圧縮など多くのメリットがある反面、リスクも少なくありません。たとえば、OSSの利用規約に違反していたり、重大なバグを含んでいたり、セキュリティ脆弱性があったり、といったリスクです。WhiteSourceは、ソフトウェア内のOSSを管理・モニターし、OSSを利用したソフトウェア開発のリスク回避をサポートします。

WhiteSourceのデータベースには、300万のコンポーネントと7000万のソースファイルのOSSの情報が登録されており、継続的に更新されています。また、セキュリティ脆弱性についても、複数の第三者のOSSデータベースと連携しており、23万以上の脆弱性の情報が登録されています。このWhiteSourceデータベースにある情報とユーザーソフトウェアに含まれるOSSの情報を照合し、OSSの検出アップデートの有無セキュリティ脆弱性の検出などの解析結果をレポートします。
また、WhiteSourceでは、誤検出を回避するための独自アルゴリズムを開発し、精度の高いマッチングを実現しています。

OSS(オープンソース)の検出

WhiteSourceDockerコンテナを含む200以上のプログラミング言語とプラットフォームに対応しており、ソフトウェア内で使用されているOSSについて、300万コンポーネント/ 7,000万ソースファイルのオープンソースライブラリが登録されているWhiteSourceのデータベースと照合し、ソフトウェア内のOSSを検出します。

OSS(オープンソース)の検出

OSSのセキュリティリスクの検出

NVD (National Vulnerability Database:NIST脆弱性情報データベース)データベースや、RubyOnRails Security、RetireJSなどのセキュリティデータベースやアドバイザリを継続的に追跡し、セキュリティに関するデータベースを構築・更新。ソフトウェアに含まれるOSSについて、WhiteSourceのデータベースと照合し、セキュリティリスクが報告されていないかを分かりやすくレポートします。

OSSのセキュリティリスクの検出

OSSのポリシー設定

OSSには、個々に利用ポリシーがありその条件はさまざまです。そのポリシーに遵守したOSSの利用を行っているかどうかを各プロジェクトや開発現場で確認することは非常に困難です。 WhiteSourceは、会社やプロジェクトの運用ルールに沿ったポリシーを作成できるため、WhiteSourceにOSSの利用ポリシーを登録することにより、ポリシー違反が発生した場合に、アラートをメールで通知したり、自動的にJIRAチケットを作成し担当者を割り当てたりすることができます。この機能によって、ライセンス違反のリスクを未然に防止することが可能です。

OSSのポリシー設定

 

OSSのバグ追跡、リアルタイムアラート

WhiteSourceはGitHub Issue Trackerやオープンソースプロジェクトのバグトラッカーを継続的に追跡し、各ライブラリバージョンのセキュリティとバグの情報を収集しています。OSSで発見された深刻なバグをリアルタイムで警告し、そのバグがそれ以降のバージョンで修正されたかについても表示します。これらの情報は、使用するOSSのバージョンの決定や、アップグレードの適用の決定に大いに役立ちます。
また、バグの重大度に基づいて分類されており、ワンクリックで製品別にレポートを生成できます。さらに、バグの量・重大度、修正されたバグの数、コミット数などから、OSSのバージョンについての品質スコアもレポートします。

OSS(オープンソース)のバグ追跡、リアルタイムにアラート

WhiteSourceの仕組み

WhiteSourceの仕組み

WhiteSourceは、SaaSとして提供されます。
開発環境に配置したエージェントがローカルまたはリポジトリ上のソースコード内、バイナリコード内のファイルに対する独自の識別子(UID)を計算し、このUIDがクラウド上にあるWhiteSourceサーバーに送信されます。WhiteSourceサーバーにソースコードが転送されることはありません。
クラウド上のWhiteSourceサーバーでは、UIDをWhiteSourceのOSSマスターデータベースとマッチングし、OSSと認識されたものに対して、ライセンス、セキュリティ、アップデートといった解析データをユーザーに提供します。また、エージェントとサーバー間の通信はTLS(HTTPS)が使用されており、安全性を確保しています。

※SaaSではなく、オンプレミスでの利用をご希望の場合は、お問い合わせください。

DevOpsツールプラグインにより、WhiteSourceによる検証を自動化

WhiteSourceは、GitHubやDocker、JenkinsといったDevOpsツールのプラグインを提供しています。ビルドのたびにWhiteSourceでの検証を自動実行する環境を整備することにより、OSSの使用に対するリスクを開発の早い段階で確認でき、迅速な対応が可能になります。 開発プロセスにWhiteSourceによる自動検証を組み込むことにより、セキュリティ品質の向上とスピーディーな開発、修正コストの削減が期待できます。

OSSセキュリティ&コンプライアンス管理ツール WhiteSourceに
関するお問い合わせ

  • テクマトリックス株式会社
    東京本社

    システムエンジニアリング事業部
    ソフトウェアエンジニアリング営業部

    03-4405-7853

メールでのお問い合わせ
se-info@techmatrix.co.jp

CONTACT

製品についてやテクマトリックスについてなど、
こちらよりお気軽にお問い合わせいただけます。