コードの安全性・安定性を高める開発サイクル ~テスト管理の効率を上げ,脆弱性診断を自動で行う~

第5回 OSSの脆弱性とコンプライアンス違反に対応するには(前編)

この記事を読むのに必要な時間:およそ 2 分

はじめに

第3回,第4回の「WhiteSource+Jiraの連携でDevSecOpsをやってみよう前編⁠,後編⁠」では,WhiteSourceのコンポジション解析の実行方法について,ツールの設定を交えて紹介しました。今回は,WhiteSourceを使ってオープンソースソフトウェア(OSS)をどのように管理することができるか,運用面にフォーカスを当てて説明します。

最初にWhiteSourceについてご存じない方のために,製品概要を簡単に紹介します。

WhiteSourceはイスラエル製のコンポジション解析ツールで,開発プロジェクトで利用しているOSSコンポーネントを検出し,脆弱性,バグなどの品質,およびライセンスを解析するツールです。

ソフトウェア開発におけるOSSの利用は,2000年頃から右肩上がりに増加しており,現在では商用ソフトウェアの60~80%はOSSで構成されていると言われています。

OSSは無償で提供されており,システム要件に合わせて独自の改変を行うこともできるため,OSSを活用して最新の技術を使った効率的な開発が実現でき,総合的なコスト削減を図ることができます。

一方,ソースコードが公開されていることから,脆弱性を突いた攻撃が後を絶たないため,OSSの品質,脆弱性に対して,バージョンアップやパッチ当てなどの対応が必要となります。また,OSSには多様なライセンス形態があり,ライセンスの理解不足から,意図せずライセンス規約に違反するような利用をしてしまうケースもあります。このようなコンプライアンス上の問題は,企業の信頼性を大きく損なうことにつながります。

WhiteSourceは,企業がOSSとうまく付き合っていくために次のような機能と特長を備えています。

1.SaaS環境の利用

ソースコードなどの機密性が高い情報はWhiteSourceサーバに送信されないため,安心してSaaS環境を利用できます

2.低コスト

競合製品と比較して,ライセンス価格帯が低く抑えられています

3.設定が容易

コマンドライン実行型の解析ツール(Unified Agent)を使って簡単に解析を実行できます

4.問題の早期検出

CIツールなどと連携することにより,脆弱性やライセンスのコンプライアンス違反を早期に検出できます。開発プロセスの早いタイミングで問題に対応できるため,改修コストを抑えられます

製品の構成

WhiteSourceは組織>製品>プロジェクトの3階層構成となっており,組織ごとにマルチテナント方式で解析結果を管理できます。

たとえば,親会社でWhiteSourceのサブスクリプションライセンスを購入して,複数のグループ会社ごとに組織を作成し,組織ごとにユーザを管理することができます。製品の解析結果は,組織に登録されているユーザだけが閲覧できるしくみになっています。

ポリシー設定

OSSの利用にあたり,最初に利用可能なOSSライセンスなどのポリシーを明確化しておくことが肝要です。WhiteSourceでは,組織,製品,プロジェクトのそれぞれに対して,ポリシーを設定することができます。

ポリシー設定は組織>製品>プロジェクトの順にオーバーライドされる仕様なので,組織としての大まかなポリシー設定を行ったうえで,製品やプロジェクト固有のポリシーを設定できます。

ポリシーに合致するOSSを検出した際,アラートとして通知したり図1⁠,JiraなどのIssue管理ツールに対してIssueを起票したりできます図2図3⁠。

図1 アラート通知の例(GPLライセンスのOSSが検出された際,Reject)

図1 アラート通知の例(GPLライセンスのOSSが検出された際,Reject)

図2 Issue起票の例(Highレベルの脆弱性が検出された際,JiraにIssueを起票)

図2 Issue起票の例(Highレベルの脆弱性が検出された際,JiraにIssueを起票)

図3 Jira Issue詳細

図3 Jira Issue詳細

前編はほとんどWhiteSourceのおさらいになってしまいましたが,後編では,どのようにしてOSSの脆弱性やコンプライアンス違反を調査・管理していくのかを紹介します。

米国Atlassianから,2年連続で
「Top new business APAC」を受賞。
Atlassianセールスパートナーとして
アジアパシフィックで1位の証

米国Atlassianから,2年連続で「Top new business APAC」を受賞。Atlassianセールスパートナーとしてアジアパシフィックで1位の証

日本だけでなく,アジア圏でもアトラシアン製品販売のトップエキスパートであるリックソフトのWebサイトでは,各アトラシアン製品の体験版を提供しているほか,アトラシアン製品専用のコミュニティも運営しています。まずはアクセスしてみては!

Software Design

本誌最新号をチェック!
Software Design 2019年12月号

2019年11月18日発売
B5判/200ページ
定価(本体1,220円+税)

  • 第1特集
    サーバーレスでめざせ! インフラ管理ゼロなシステム
    基本のAWS Lambdaからフルサーバーレスまで
  • 第2特集
    12月6日発売『みんなのPHP』コラボ!
    PHPプログラミング・アラカルト
    なぜ愛され,なぜ進化するのか?
  • 短期連載
    Webサービスを裏で支える!! バッチ処理設計の勘所
    【1】バッチ処理の特徴と設計のポイント
  • 短期集中連載
    Webエンジニアのための時短スマホアプリ開発
    【2】React.jsをおさらいし,React NativeによるUI構築の基本を知ろう

著者プロフィール

古守花織(こもりかおり)

リックソフト株式会社

アトラシアン製品のプリセールスを担当。

アトラシアン認定プロフェッショナル(ACP)の資格取得のための勉強をしつつ,愛犬と一緒に登山を楽しんでます。

動物占いは「虎」ですが,そこまで肉は食べません。