前編ではWhiteSourceのおさらいをしました。ここからはWhiteSourceによる、オープンソースソフトウェア（OSS）の脆弱性対応状況やライセンス情報の管理について紹介します。

アラートの確認

WhiteSourceでは、標準で次の内容に合致するOSSをアラートリストに表示します。また初期設定として、毎週、組織の管理者に対してアラートの検出結果をメールで通知します。

• 新しいバージョンが存在する
• 脆弱性を含む
• ポリシー違反
• バグを含む
• 複数のライセンスを含む
• 複数のバージョンを含む
• リクエスト差し戻し済み

ダッシュボードからアラートの統計情報が確認でき（図1⁠）⁠、アラート一覧画面から個々のアラート情報を精査することができます。

脆弱性対応のサポート

WhiteSourceでは、OSSの脆弱性情報として、CVE番号、脆弱性がFixしたバージョンなどを確認することができます。また、ベンダからの脆弱性対応方法の提案を確認することもできます（図2⁠）⁠。これらの情報を参考に脆弱性を含むOSSについて、どのように対応するかを検討できます。

ライセンスの確認

ダッシュボードにて、ライセンスの統計情報を確認することができます（図3⁠）⁠。

インベントリの整理

WhiteSourceは検出したOSSをすべてインベントリとして登録します。

インベントリ一覧では、次のような振り分け設定を使ってOSSを分類・整理することができます。

Set Attribute Value

WhiteSourceの管理画面にて任意の属性項目を定義し、OSSに対して属性情報を追加することができます。設定した属性情報はOSSの詳細画面にて確認でき、参考情報として利用できます

Mark as in-House

自社内で作成したライブラリが検出された際、内製のライブラリとしてマークします

Add to Whitelist

OSSをWhitelistに追加して確認対象から除外します

Assign License

WhiteSourceでライセンスの識別ができなかった場合、手動でライセンスを割り当てることができます

Request Resolution

WhiteSourceでライセンスの識別ができない原因として、WhiteSourceのデータベースにOSSの情報が登録されていない場合があります。ライセンスが特定できなかったOSSに対して、Request Resolutionを実行することにより、WhiteSource社にOSSの調査とデータベース登録を依頼することができます

最後に

OSSの発展と普及が進む中、WhiteSourceを活用することにより、OSSの利用に伴うさまざまな不安やリスクを解消でき、新しい技術を使ったアプリケーション開発を円滑に遂行することが可能になります。

日本だけでなく、アジア圏でもアトラシアン製品販売のトップエキスパートであるリックソフトのWebサイトでは、各アトラシアン製品の体験版を提供しているほか、アトラシアン製品専用のコミュニティも運営しています。まずはアクセスしてみては！

• https://www.ricksoft.jp/

本誌最新号をチェック！
Software Design 2022年9月号

2022年8月18日発売
B5判／192ページ
定価1,342円
（本体1,220円＋税10%）

• 第1特集
  MySQL アプリ開発者の必修5科目
  不意なトラブルに困らないためのRDB基礎知識
• 第2特集
  「知りたい」「使いたい」「発信したい」をかなえる
  OSSソースコードリーディングのススメ
• 特別企画
  企業のシステムを支えるOSとエコシステムの全貌
  ［特別企画］Red Hat Enterprise Linux 9最新ガイド
• 短期連載
  今さら聞けないSSH
  ［前編］リモートログインとコマンドの実行
• 短期連載
  MySQLで学ぶ文字コード
  ［最終回］文字コードのハマりどころTips集
• 短期連載
  新生「Ansible」徹底解説
  ［4］Playbookの実行環境（基礎編）