テクマトリックス株式会社(本社：東京都港区、代表取締役社長：由利孝、以下「テクマトリックス」)と、スウェーデンFOSSID AB(本社：スウェーデン ストックホルム、最高経営責任者：Oskar Swirtun、以下「FOSSID社」)はFOSSID社が開発した、OSS(オープンソースソフトウェア)のライセンス&セキュリティ管理ツール「FOSSID」について、テクマトリックスが本日より販売を開始することを共同で発表します。

厳しいスケジュールでソフトウェアをリリースする開発現場では、OSS(オープンソースソフトウェア)の利用が増加しています。その一方で、OSSのライセンスポリシーやセキュリティ脆弱性のリスクから、やみくもにOSSを利用することは後に大きな問題につながる可能性があります。OSSを正しく理解し、正しく利用することは、開発現場における大きなテーマであり課題となっています。
このたび、取り扱いを開始した「FOSSID」は、最新鋭のスキャニングエンジンと、膨大なオープンソース情報ナレッジベースに支えられた新しいOSSライセンス＆セキュリティ管理ツールです。さまざまなプログラミング言語のファイルに対し、独自のコード検索アルゴリズムで高速にスキャンを行い、コードの派生元であるオープンソースを特定します。また、NIST(アメリカ国立標準技術研究所)で公開されるCVE情報に基づくOSSの脆弱性情報も表示し、早期にOSSのセキュリティ対策が行えます。 さらに、部分的にコピー&ペーストしたOSSの情報や一部改編したOSSが確認できるコードスニペット検出にも対応しているため、より正確で広範囲な情報を可視化します。
「FOSSID」でソースコードをスキャンし、OSSの有無を確認し、そのライセンスポリシーやセキュリティ脆弱性を把握することにより、OSSのライセンスに関して早期にリスク対応を行うことが可能になります。

FOSSIDの特長

コンポーネント全体からコードスニペットまで、コード内にあるOSSをスキャニング

コンポーネント全体からコードスニペットまで、コード内にあるあらゆるフリーおよびオープンソースソフトウェアのコードの派生元であるオープンソースを特定します。FOSSIDがOSSのライセンスやセキュリティの情報を迅速、かつ正確に提供するので、ユーザーは顧客に提供する価値を最大化することに集中できます。

ノイズの少ないスキャン結果レポート

オープンソースプロジェクトは、常にフォークされ、再利用されているため、ユーザーにとってノイズとなる二次的な一致が大量に検出されます。FOSSIDは、ノイズを排除し、ユーザーがフォルダー、ライブラリ、アーカイブ、コンポーネントの本当の起点をすばやく識別できるスキャン結果レポートを提供します。

コードやファイルをアップロードすることなく、スキャンを実行

FOSSIDは、FOSSIDナレッジベースへの照会にはソースコードのデジタル署名のみが使用されるので、コードやファイルがサーバーにアップロードまたは送信されることはありません。

クラウドサービス、または、オフラインで利用可能

FOSSIDは、レギュラー(SaaSサービス)とオフライン(オンプレミス)の2つのデプロイメントが用意されています。レギュラーデプロイメントは、FOSSIDクラウド上の常に最新の状態に保たれているFOSSIDナレッジベースと照合する方法です。オフラインデプロイメントは、ユーザーのローカルネットワーク内にFOSSIDナレッジベースを設置し、外部ネットワークとのトラフィックを伴わない状態でスキャンを実行する方法です。オフラインデプロイメントのFOSSIDナレッジベースは、ミラーサーバーを介して定期的にアップデートを取得するので、常に新しいナレッジ情報を保持できます。