前編ではWhiteSourceのおさらいをしました。ここからはWhiteSourceによる，オープンソースソフトウェア（OSS）の脆弱性対応状況やライセンス情報の管理について紹介します。

アラートの確認

WhiteSourceでは，標準で次の内容に合致するOSSをアラートリストに表示します。また初期設定として，毎週，組織の管理者に対してアラートの検出結果をメールで通知します。

• 新しいバージョンが存在する
• 脆弱性を含む
• ポリシー違反
• バグを含む
• 複数のライセンスを含む
• 複数のバージョンを含む
• リクエスト差し戻し済み

ダッシュボードからアラートの統計情報が確認でき（図1⁠）⁠，アラート一覧画面から個々のアラート情報を精査することができます。

脆弱性対応のサポート

WhiteSourceでは，OSSの脆弱性情報として，CVE番号，脆弱性がFixしたバージョンなどを確認することができます。また，ベンダからの脆弱性対応方法の提案を確認することもできます（図2⁠）⁠。これらの情報を参考に脆弱性を含むOSSについて，どのように対応するかを検討できます。

ライセンスの確認

ダッシュボードにて，ライセンスの統計情報を確認することができます（図3⁠）⁠。

<

統計結果に表示されている個々のライセンス情報はすべてリンクとなっており，ライセンスをクリックすると該当ライセンスが含まれるOSSの一覧画面が表示されます。また，ライセンスの詳細情報として，著作権，特許などの情報，および利用リスクに応じたリスクスコアを確認できます。

インベントリの整理

WhiteSourceは検出したOSSをすべてインベントリとして登録します。

インベントリ一覧では，次のような振り分け設定を使ってOSSを分類・整理することができます。

Set Attribute Value

WhiteSourceの管理画面にて任意の属性項目を定義し，OSSに対して属性情報を追加することができます。設定した属性情報はOSSの詳細画面にて確認でき，参考情報として利用できます

Mark as in-House

自社内で作成したライブラリが検出された際，内製のライブラリとしてマークします

Add to Whitelist

OSSをWhitelistに追加して確認対象から除外します

Assign License

WhiteSourceでライセンスの識別ができなかった場合，手動でライセンスを割り当てることができます

Request Resolution

WhiteSourceでライセンスの識別ができない原因として，WhiteSourceのデータベースにOSSの情報が登録されていない場合があります。ライセンスが特定できなかったOSSに対して，Request Resolutionを実行することにより，WhiteSource社にOSSの調査とデータベース登録を依頼することができます

最後に

OSSの発展と普及が進む中，WhiteSourceを活用することにより，OSSの利用に伴うさまざまな不安やリスクを解消でき，新しい技術を使ったアプリケーション開発を円滑に遂行することが可能になります。

米国Atlassianから，2年連続で
「Top new business APAC」を受賞。
Atlassianセールスパートナーとして
アジアパシフィックで1位の証

日本だけでなく，アジア圏でもアトラシアン製品販売のトップエキスパートであるリックソフトのWebサイトでは，各アトラシアン製品の体験版を提供しているほか，アトラシアン製品専用のコミュニティも運営しています。まずはアクセスしてみては！

• https://www.ricksoft.jp/