コードの安全性・安定性を高める開発サイクル ~テスト管理の効率を上げ,脆弱性診断を自動で行う~

第6回 OSSの脆弱性とコンプライアンス違反に対応するには(後編)

この記事を読むのに必要な時間:およそ 1.5 分

前編ではWhiteSourceのおさらいをしました。ここからはWhiteSourceによる,オープンソースソフトウェア(OSS)の脆弱性対応状況やライセンス情報の管理について紹介します。

アラートの確認

WhiteSourceでは,標準で次の内容に合致するOSSをアラートリストに表示します。また初期設定として,毎週,組織の管理者に対してアラートの検出結果をメールで通知します。

  • 新しいバージョンが存在する
  • 脆弱性を含む
  • ポリシー違反
  • バグを含む
  • 複数のライセンスを含む
  • 複数のバージョンを含む
  • リクエスト差し戻し済み

ダッシュボードからアラートの統計情報が確認でき図1⁠,アラート一覧画面から個々のアラート情報を精査することができます。

図1 アラート統計

図1 アラート統計

脆弱性対応のサポート

WhiteSourceでは,OSSの脆弱性情報として,CVE番号,脆弱性がFixしたバージョンなどを確認することができます。また,ベンダからの脆弱性対応方法の提案を確認することもできます図2⁠。これらの情報を参考に脆弱性を含むOSSについて,どのように対応するかを検討できます。

図2 ベンダからの脆弱性対応方法の提案

図2 ベンダからの脆弱性対応方法の提案

ライセンスの確認

ダッシュボードにて,ライセンスの統計情報を確認することができます図3⁠。

図3 ライセンスの統計情報

図3 ライセンスの統計情報

<

統計結果に表示されている個々のライセンス情報はすべてリンクとなっており,ライセンスをクリックすると該当ライセンスが含まれるOSSの一覧画面が表示されます。また,ライセンスの詳細情報として,著作権,特許などの情報,および利用リスクに応じたリスクスコアを確認できます。

インベントリの整理

WhiteSourceは検出したOSSをすべてインベントリとして登録します。

インベントリ一覧では,次のような振り分け設定を使ってOSSを分類・整理することができます。

Set Attribute Value
WhiteSourceの管理画面にて任意の属性項目を定義し,OSSに対して属性情報を追加することができます。設定した属性情報はOSSの詳細画面にて確認でき,参考情報として利用できます
Mark as in-House
自社内で作成したライブラリが検出された際,内製のライブラリとしてマークします
Add to Whitelist
OSSをWhitelistに追加して確認対象から除外します
Assign License
WhiteSourceでライセンスの識別ができなかった場合,手動でライセンスを割り当てることができます
Request Resolution
WhiteSourceでライセンスの識別ができない原因として,WhiteSourceのデータベースにOSSの情報が登録されていない場合があります。ライセンスが特定できなかったOSSに対して,Request Resolutionを実行することにより,WhiteSource社にOSSの調査とデータベース登録を依頼することができます

最後に

OSSの発展と普及が進む中,WhiteSourceを活用することにより,OSSの利用に伴うさまざまな不安やリスクを解消でき,新しい技術を使ったアプリケーション開発を円滑に遂行することが可能になります。

米国Atlassianから,2年連続で
「Top new business APAC」を受賞。
Atlassianセールスパートナーとして
アジアパシフィックで1位の証

米国Atlassianから,2年連続で「Top new business APAC」を受賞。Atlassianセールスパートナーとしてアジアパシフィックで1位の証

日本だけでなく,アジア圏でもアトラシアン製品販売のトップエキスパートであるリックソフトのWebサイトでは,各アトラシアン製品の体験版を提供しているほか,アトラシアン製品専用のコミュニティも運営しています。まずはアクセスしてみては!

Software Design

本誌最新号をチェック!
Software Design 2020年6月号

2020年5月18日発売
B5判/176ページ
定価(本体1,220円+税)

  • 第1特集
    入門! Rust
    メモリ安全とパフォーマンスを両立するしくみとは?
  • 第2特集
    プロフェッショナルに訊く
    テストコードの流儀
  • 第3特集
    低レイヤソフトウェア開発入門(後編)
    Linuxカーネルを読み解く,OS・ベアメタルアプリを創る
  • 短期連載
    はじめよう,高速E2Eテスト
    【1】Seleniumで体験するE2Eテスト――速度の課題と並列化による対策
  • 短期連載
    スタートアップのためのAWSテクノロジー講座
    【2】コンテナ導入に向けた現実的な方法を知る

著者プロフィール

古守花織(こもりかおり)

リックソフト株式会社

アトラシアン製品のプリセールスを担当。

アトラシアン認定プロフェッショナル(ACP)の資格取得のための勉強をしつつ,愛犬と一緒に登山を楽しんでます。

動物占いは「虎」ですが,そこまで肉は食べません。