機能紹介

FossIDは、最新鋭のスキャニング エンジンと、膨大なオープンソース情報ナレッジベースに支えられた新しいOSSライセンス&セキュリティ管理ツールです。
さまざまなプログラミング言語のファイルに対し、独自のコード検索アルゴリズムで高速にスキャンを行い、コードの派生元であるオープンソースを特定します。また、NIST(アメリカ国立標準技術研究所)で公開されるCVE(Common Vulnerabilities and Exposures:共通脆弱性識別子)情報に基づくOSSの脆弱性情報も表示し、OSSのセキュリティ対策が行えます。
さらに、部分的にコピー&ペーストしたOSSの情報が確認できるコードスニペット検出にも対応しているため、より正確で広範囲な情報を可視化します。

コンポーネント全体からコードスニペットまで、コード内にあるオープンソースソフトウェア(OSS)をスキャニング

正確な結果

業界最大級のナレッジ ベースを利用して、きわめて正確なレポートを生成し、コードの派生元を特定します。完全性や正確性の高いスキャン結果のレポートにより、ユーザーは結果の確認や分析をスムーズに行えます。

安全かつプライベート

コードがサーバーにアップロードまたは送信されることはありません。最大限のプライバシーと信頼性を確保するため、FossIDは完全にユーザーのネットワーク内にデプロイ可能。スキャンの実行ではユーザーの社内ネットワークの外へのトラフィックを伴いません。

高速なスキャン

FossID独自のコード検索アルゴリズムが高速にファイルをスキャンします。開発サイクルを滞らせることはありません。

シームレスな統合

スタンドアロン ツールとしても、継続的インテグレーション環境の一部としても、FossIDの軽量なLinuxまたはWindowsクライアントは、既存の開発プロセスにシームレスに組み込めます。

最大規模の高速ナレッジベースにOSSの情報を蓄積

昨今は、ソフトウェア開発者が独自に開発したコードと同様にオープンソースソフトウェア(OSS)も多く利用されています。そのため、自社のソフトウェアにどのようなライセンスを持つOSSが含まれるかを把握するには、ソースコードをスキャンして解析するシステマティックなプロセスが必要です。
FossIDは、オープンソースを識別し、コード内に存在するオープンソースコンポーネントおよびそのライセンスを検出します。FossIDは、最新鋭のスキャニングエンジンと、最大規模のオープンソース情報ナレッジベースに支えられた究極のオープンソーススキャニングエンジンです。

最大規模の高速ナレッジベース

FossIDのナレッジベースは、オープンソースプロジェクト、ソースファイルが格納されており、常に追加・拡大、および最適化をしています。この種のナレッジベースとして最大規模であるだけではなく、迅速なスキャンを可能にする革新的な検索アルゴリズムを採用しており、高スピードでのスキャンを実現しています。さらに、FossIDのナレッジベースは、フリーおよびオープンソースソフトウェアの指数関数的な増大に追随するため、素早く拡張できるよう設計されています。

コンポーネント・ファイル・コードスニペットといった、あらゆる形態のオープンソースを検出

コンポーネント全体

オープンソースのプロジェクトは、常にフォークされ、再利用されています。そのため、重要ではない二次的な一致などノイズが発生するため、面倒で時間がかかる分析が必要になります。FossIDは、フォルダーでも、ライブラリでも、アーカイブでも、コンポーネントの本当の起点をすばやく識別できるため、ノイズの多いレポートを調査するために時間を浪費せずにすみます。

ファイル単位

未変更のファイルだけでなく、変更されたファイルも識別します。ファイルが意図的に、またはQA ツールや開発スクリプトなどによって自動的に変更されていると、一致を検出するのが難しくなり、人によるライセンスコンプライアンスの確認が必要になる場合もあります。FossIDの革新的な検索アルゴリズムは、ファイルが編集されていても検出が可能です。

コードスニペット

プロジェクト内にある比較的小さなオープンソースの情報を検出します。ウェブで提供されているコードのコピー&ペーストは、新機能を実装したりバグを修正する際の効率を高めるため、広く行われています。FossIDはオープンソースコードのスニペットおよびそのライセンスを検出します。

デプロイメントオプション

ユーザーは FossID クラウドサービスを利用することも、社内ネットワーク内にFossIDソリューション全体をデプロイすることも可能です。

レギュラーデプロイメント

クラウドベースのFossIDソリューションを利用する場合、専用サーバーでオープンソーススキャンを実行できます。クラウドベースのスキャン実行時にFossIDサーバーにソースコード(ファイル名も)が送信されることはありません。ナレッジベースの照会には、ソースコードのデジタル署名だけが使用されます。

オフラインデプロイメント

ローカルにデプロイされたFossIDを利用する場合、FossIDナレッジベース全体のコピーがユーザーの社内ネットワーク内にインストールされます。結果として、オープンソースのスキャンを実行しても、外部的な依存関係や自社ネットワーク外のトラフィックは発生しません。

VulnSnippet Finder ~セキュリティ脆弱性の原因となるコードスニペットを検出~ (有償オプション)

VulnSnippet Finderは、コード行(スニペット)単位でFossIDナレッジベースと照合し、オープンソースコンポーネントや自社開発のソースコードに挿入されたオープンソースの一致個所を検索してセキュリティ脆弱性の原因になりうるコード行( スニペット)を検出します。 ソフトウェアの中にあるOSSのセキュリティ脆弱性を引き起こすコードスニペットを検出できるため、より正確に、迅速にOSSのセキュリティ脆弱性情報を確認できます。
  • 一致するオープンソースとして誤ったコンポーネントまたはバージョンを選択するなどのよくある人的エラーを排除
  • セキュリティ脆弱性の原因になる実際のコード行(スニペット)を検出
  • 自社コードに挿入されたオープンソースも検出
  • 誤検出を削減
  • 派生物およびフォークの既知のセキュリティ脆弱性を検出
VulnSnippet Finderの詳細はこちら

VulnSnippet Finder

FossID - OSSライセンス&セキュリティ管理ツールに
関するお問い合わせ

  • テクマトリックス株式会社
    東京本社

    ソフトウェアエンジニアリング事業部

    03-4405-7853

メールでのお問い合わせ
fossid-info@techmatrix.co.jp

CONTACT

製品についてやテクマトリックスについてなど、
こちらよりお気軽にお問い合わせいただけます。