コードの安全性・安定性を高める開発サイクル ~テスト管理の効率を上げ,脆弱性診断を自動で行う~
第6回 OSSの脆弱性とコンプライアンス違反に対応するには(後編)
前編ではWhiteSourceのおさらいをしました。ここからはWhiteSourceによる,
アラートの確認
WhiteSourceでは,
- 新しいバージョンが存在する
- 脆弱性を含む
- ポリシー違反
- バグを含む
- 複数のライセンスを含む
- 複数のバージョンを含む
- リクエスト差し戻し済み
ダッシュボードからアラートの統計情報が確認でき
脆弱性対応のサポート
WhiteSourceでは,
ライセンスの確認
ダッシュボードにて,
統計結果に表示されている個々のライセンス情報はすべてリンクとなっており,
インベントリの整理
WhiteSourceは検出したOSSをすべてインベントリとして登録します。
インベントリ一覧では,
- Set Attribute Value
- WhiteSourceの管理画面にて任意の属性項目を定義し,
OSSに対して属性情報を追加することができます。設定した属性情報はOSSの詳細画面にて確認でき, 参考情報として利用できます - Mark as in-House
- 自社内で作成したライブラリが検出された際,
内製のライブラリとしてマークします - Add to Whitelist
- OSSをWhitelistに追加して確認対象から除外します
- Assign License
- WhiteSourceでライセンスの識別ができなかった場合,
手動でライセンスを割り当てることができます - Request Resolution
- WhiteSourceでライセンスの識別ができない原因として,
WhiteSourceのデータベースにOSSの情報が登録されていない場合があります。ライセンスが特定できなかったOSSに対して, Request Resolutionを実行することにより, WhiteSource社にOSSの調査とデータベース登録を依頼することができます
最後に
OSSの発展と普及が進む中,
日本だけでなく,
アジア圏でもアトラシアン製品販売のトップエキスパートであるリックソフトのWebサイトでは, 各アトラシアン製品の体験版を提供しているほか, アトラシアン製品専用のコミュニティも運営しています。まずはアクセスしてみては!
本誌最新号をチェック!
Software Design 2021年5月号
2021年4月16日発売
B5判/192ページ
定価1,342円
(本体1,220円+税10%)
- 第1特集
ハンズオンTCP/IP
コードで納得 ネットワークのしくみ - 第2特集
PHP 8移行のタイミングとコツ
コーディング,JITコンパイラ,フレームワークの3点で考える
バックナンバー
コードの安全性・安定性を高める開発サイクル ~テスト管理の効率を上げ,脆弱性診断を自動で行う~
- 第12回 Tricentis Toscaを使ったテスト自動化でE2Eテストを最適化する(後編)
- 第11回 Tricentis Toscaを使ったテスト自動化でE2Eテストを最適化する(前編)
- 第10回 テストファーストな管理で,品質を落とさず素早くソフトウェアをリリース(後編)
- 第9回 テストファーストな管理で,品質を落とさず素早くソフトウェアをリリース(前編)
- 第8回 イノベーションを加速させるアジャイル開発/DevOps(後編)
- 第7回 イノベーションを加速させるアジャイル開発/DevOps(前編)
- 第6回 OSSの脆弱性とコンプライアンス違反に対応するには(後編)
- 第5回 OSSの脆弱性とコンプライアンス違反に対応するには(前編)
- 第4回 WhiteSource+Jiraの連携でDevSecOpsをやってみよう(後編)
- 第3回 WhiteSource+Jiraの連携でDevSecOpsをやってみよう(前編)