はじめに

第3回，第4回の「WhiteSource＋Jiraの連携でDevSecOpsをやってみよう（前編⁠）⁠，（⁠後編⁠）⁠」では，WhiteSourceのコンポジション解析の実行方法について，ツールの設定を交えて紹介しました。今回は，WhiteSourceを使ってオープンソースソフトウェア（OSS）をどのように管理することができるか，運用面にフォーカスを当てて説明します。

最初にWhiteSourceについてご存じない方のために，製品概要を簡単に紹介します。

WhiteSourceはイスラエル製のコンポジション解析ツールで，開発プロジェクトで利用しているOSSコンポーネントを検出し，脆弱性，バグなどの品質，およびライセンスを解析するツールです。

ソフトウェア開発におけるOSSの利用は，2000年頃から右肩上がりに増加しており，現在では商用ソフトウェアの60～80％はOSSで構成されていると言われています。

OSSは無償で提供されており，システム要件に合わせて独自の改変を行うこともできるため，OSSを活用して最新の技術を使った効率的な開発が実現でき，総合的なコスト削減を図ることができます。

一方，ソースコードが公開されていることから，脆弱性を突いた攻撃が後を絶たないため，OSSの品質，脆弱性に対して，バージョンアップやパッチ当てなどの対応が必要となります。また，OSSには多様なライセンス形態があり，ライセンスの理解不足から，意図せずライセンス規約に違反するような利用をしてしまうケースもあります。このようなコンプライアンス上の問題は，企業の信頼性を大きく損なうことにつながります。

WhiteSourceは，企業がOSSとうまく付き合っていくために次のような機能と特長を備えています。

1．SaaS環境の利用

ソースコードなどの機密性が高い情報はWhiteSourceサーバに送信されないため，安心してSaaS環境を利用できます

2．低コスト

競合製品と比較して，ライセンス価格帯が低く抑えられています

3．設定が容易

コマンドライン実行型の解析ツール（Unified Agent）を使って簡単に解析を実行できます

4．問題の早期検出

CIツールなどと連携することにより，脆弱性やライセンスのコンプライアンス違反を早期に検出できます。開発プロセスの早いタイミングで問題に対応できるため，改修コストを抑えられます

製品の構成

WhiteSourceは組織＞製品＞プロジェクトの3階層構成となっており，組織ごとにマルチテナント方式で解析結果を管理できます。

たとえば，親会社でWhiteSourceのサブスクリプションライセンスを購入して，複数のグループ会社ごとに組織を作成し，組織ごとにユーザを管理することができます。製品の解析結果は，組織に登録されているユーザだけが閲覧できるしくみになっています。

ポリシー設定

OSSの利用にあたり，最初に利用可能なOSSライセンスなどのポリシーを明確化しておくことが肝要です。WhiteSourceでは，組織，製品，プロジェクトのそれぞれに対して，ポリシーを設定することができます。

ポリシー設定は組織＞製品＞プロジェクトの順にオーバーライドされる仕様なので，組織としての大まかなポリシー設定を行ったうえで，製品やプロジェクト固有のポリシーを設定できます。

ポリシーに合致するOSSを検出した際，アラートとして通知したり（図1⁠）⁠，JiraなどのIssue管理ツールに対してIssueを起票したりできます（図2，図3⁠）⁠。

前編はほとんどWhiteSourceのおさらいになってしまいましたが，後編では，どのようにしてOSSの脆弱性やコンプライアンス違反を調査・管理していくのかを紹介します。

米国Atlassianから，2年連続で
「Top new business APAC」を受賞。
Atlassianセールスパートナーとして
アジアパシフィックで1位の証

日本だけでなく，アジア圏でもアトラシアン製品販売のトップエキスパートであるリックソフトのWebサイトでは，各アトラシアン製品の体験版を提供しているほか，アトラシアン製品専用のコミュニティも運営しています。まずはアクセスしてみては！

• https://www.ricksoft.jp/