WhiteSource

OSSによるソフト開発のリスクを回避する

WhiteSource


世界中のOSS情報をデータベース化しマッチングすることで、リスクや問題を自動で把握・指摘することができるOSSセキュリティ&コンプライアンス管理ソリューション

今や、ソフトウェア製品に含まれるコードの60~80%はオープンソースコンポーネントが占めています

OSSの利用は今後もさらに進むでしょう。なぜなら…
DevOps

ソフト開発における生産性の向上が
至上命題!

  • リリースまでの短いサイクル要求(→ DevOps)
  • 開発コスト削減
  • 最新技術の早期採用

 ソースコードが公開されていて簡単に入手できるOSSを
使わない手はない!

でも、ちょっと待った!

でも自社のソフトにどんなOSSが使われているか、きちんと把握できていますか?

 OSSが随所に使われている中で、完全に把握できていないかも?

オープンソース活用時の課題

OSSの主なライセンス種類と脆弱性・ライセンス違反事例


  •  OSSの主なライセンス種類
  •  OSSの脆弱性・ライセンス違反事例

ライセンスの種類は70以上あります。以下は主なライセンスです。
ライセンス
Required(必須)
Permitted(許可)
Forbidden(禁止)
Apache v2
著作権の表示、変更箇所の明示 商用利用、修正、配布、サブライセンス、特許許可 トレードマークの使用、責任免除
GPL v2
著作権の表示、変更箇所の明示、ソースの明示 商用利用、修正、配布、特許許可 責任免除、サブライセンス
MIT
著作権の表示 商用利用、修正、配布、サブライセンス 責任免除
Mozilla Public v 2.0
ソースの明示、著作権の表示 商用利用、修正、配布、サブライセンス、特許許可 責任免除、トレードマークの使用
LGPL v2.1
著作権の表示、ライブラリの使用、ソースの明示 商用利用、修正、配布、サブライセンス、特許許可 責任免除
The BSD 3-Clause
著作権の表示 商用利用、修正、配布、サブライセンス 責任免除、トレードマークの使用
Artistic 2.0
著作権の表示、変更箇所の明示、ソースの明示 商用利用、修正、配布、サブライセンス、個人利用 責任免除、トレードマークの使用
GPL v3
著作権の表示、変更箇所の明示、ソースの明示 商用利用、修正、配布、特許許可 責任免除、サブライセンス
LGPL v3
著作権の表示、ライブラリの使用、ソースの明示 商用利用、修正、配布、サブライセンス、特許許可 責任免除
Affero GPL
著作権の表示、変更箇所の明示、ソースの明示 商用利用、修正、配布 責任免除、サブライセンス
Public Domain
個人利用、商用利用、修正、配布、サブライセンス 責任免除
No License
著作権の表示 個人利用、商用利用 修正、配布、サブライセンス
Eclipse Public v1.0
ソースの明示、著作権の表示 商用利用、修正、配布、サブライセンス、特許許可 責任免除
BSD 2-Clause
著作権の表示 商用利用、修正、配布、サブライセンス 責任免除

OSSの脆弱性やライセンス違反事例の発生は後を絶ちません。
No.
内容
CVE-2011-3928
テスラモーターズの車載情報端末のブラウザー QtCarBrowser の WebKit エンジンに任意のコードが実行できる脆弱性
CVE-2017-5638
Apache Struts 2 に、Jakarta Multipart parserのファイルアップロード処理に起因する、リモートで任意のコードが実行される脆弱性が存在
CVE-2017-1000367
Linuxのsudoコマンドで全特権の取得
CVE-2017-7925
ネットワーク管理者権限で任意の操作が行われる可能性
CVE-2017-1001000
REST APIの脆弱性によるWebサイトの改ざん
CVE-2016-8747
Tomcatの脆弱性 セッションIDや応答などの情報漏洩の可能性
CVE-2016-6662
OpenSSLの拡張機能Heartbeatに脆弱性が存在し、情報漏洩
CVE-2015-0235
Ghost–glibcにバッファオーバーフローの脆弱性。DoS状態に陥ったり、リモートからのコード実行が可能になる恐れ
CVE-2014-6271
Shellshock--bashに存在する脆弱性
遠隔でシェルコマンドを実行することが可能になり、サーバが乗っ取られたり、不正プログラムに感染の恐れ
そんなあなたのお悩みに、朗報!
オープンソース活用の課題解決は、WhiteSourceにおまかせください!

WhiteSourceとは


WhiteSource(ホワイトソース)は世界中のOSS(Open-Source Software:オープンソースソフトウェア)情報をデータベース化しマッチングすることで、リスクや問題を自動で把握・指摘することができるOSSセキュリティ&コンプライアンス管理ソリューションです。

開発工数を削減したり、品質の高いアプリケーションを作成できるなどの多くのメリットがあることから、アプリケーション開発はOSSの利用が前提となっています。OSSはすでに数多くの ITソフトウェアや組込システムにも使われ、完成ソフトウェアコードの80%に使用されているといわれています。

メリットの多いOSSですが、一方では危険性もはらんでいます。例えばライセンスを正しく理解せずに利用した場合にはライセンス違反として訴訟を起こされる危険性があり、またOSSの脆弱性を常に監視し迅速に対処しなければ情報漏えいなどの事故に繋がる可能性もあります。しかしOSSの管理は手作業ではとても追いきれるものではなく、開発・経営の両視点から「自動化された管理ソリューション」が必須となっています。

WhiteSourceはOSSによるソフト開発のリスクを回避するためのセキュリティ&コンプライアンス管理ソリューションです。WhiteSourceを利用することにより、ソフトウェア開発者は適切かつ最適なOSSの利用が容易になり、開発生産性のアップに貢献します。また経営者はライセンス違反や脆弱性等に起因するトラブルを未然に回避することができるようになります。

リスク1

[ リスク1 ]

脆弱性・
セキュリティ

WhiteSourceなら

セキュリティ確保のため、脆弱性を持つオープンソースの使用をWhiteSourceが指摘

リスク2

[ リスク2 ]

ライセンス違反・
訴訟リスク

WhiteSourceなら

OSSのライセンス情報と危険度の指摘で法令・規則(ライセンス条項)の順守

リスク3

[ リスク3 ]

オープンソースの
利用が未把握

WhiteSourceなら

どこでOSSを使用したか?無意識の内どこで使用されているか?を見える化

リスク4

[ リスク4 ]

バグ・アップデート
対策

WhiteSourceなら

重大なバグや古いままのOSS使用を回避 / ソフトウェアリリース後でも追跡可能

特長


WhiteSourceは、以下の特長があります。
  •  正確なデータベースとマッチング
  •  多様なプログラミング環境に対応
  •  多くのツールやシステム環境を統合的にサポート
  •  継続的な運用に最適。リリース後も継続的に監視・報告
  •  チーム横断対応。システム開発ライフサイクルをフルカバー
  •  M&Aデューデリジェンス資産調査でのリスク検出

一般的なOSS管理ツールでは誤検出が多くなりがちで無駄な警告が発生し、運用コストが増大します。WhiteSourceは世界中のOSS情報をデータベース化。誤検出回避のための正確なマッチングを実施できるアルゴリズムを採用しています。

  •  12の第三者OSSデータベース、3百万のコンポーネント、7千万のソースファイルを監視
  •  オープンソースコミュニティをベースに実行可能な解決策を提示

20以上のプログラミング言語の開発環境に対応。オープンソース・マネジメントソリューションを提供。

概要

一般的なビルドツールやCIサーバと統合。安全にオープンソースコンポーネントを管理できます。

概要

WhiteSourceは、オープンソースコンポーネントを各方面から継続的にトラッキング。製品のセキュリティと品質の問題点を継続的に監視できます。

  •  リリース後の自動トラッキングとアラートを提供
  •  18万以上の脆弱性を検出、多様なソースとアドバイザリーを提供
  •  世界中のOSS情報を継続的に監視し、データベース化

SDLC(システム開発ライフサイクル)のすべての段階において安全にオープンソースコンポーネントを管理。セキュリティ、エンジニアリング、法務部、それぞれの部門でOSSの活用やリスクを管理できます。


企業買収・合併(M&A)に際し、デューデリジェンス(企業価値評価)を行いますが、そのリスク判断としてOSSのイベントリレポートが必要になります。WhiteSourceで提供できます。

構成


WhiteSourceは、サービスとして提供されます。
WhiteSource利用者は、ローカルエージェントもしくは開発環境プラグインを導入するだけです。

全ての通信データは TLS(HTTPS)を利用するため安全です。

※ オンプレミスでの提供も可能です。詳しくはお問い合わせ下さい。

概要
  1.  Step 1

    開発環境に置かれたエージェントがそれぞれのファイルに対する独自の識別子(UID)を計算。すべての識別子(UID)が、 WhiteSource のサーバへと送付されます。

  2.  Step 2

    UIDはWhiteSourceのマスターデータベースとマッチングされます。OSSと認識されたものに対して、セキュリティ、ライセンス、品質といった関連するすべてのデータが、ユーザ特定のOSSインベントリーに蓄積されます。

  3.  Step 3

    ユーザアカウントの情報がアップデートされます。すべての解析データがオンラインで利用可能となります。

WhiteSourceが選ばれる「8つの理由」


強み1

[ 理由1 ]

データベースサイズ

300万コンポーネントと7000万ソースファイルで構成
強み2

[ 理由2 ]

脆弱性情報源と情報量

12の第三者OSSデータベースとも連携 / 脆弱性情報23万以上
強み3

[ 理由3 ]

解決策の提示

70%以上の脆弱性に対して解決策提示
強み4

[ 理由4 ]

正確性

誤検知はほぼ無いマッチングのアルゴリズム
強み5

[ 理由5 ]

統合化・言語

多くの開発ツール及びプログラミング言語をサポート / 開発プロセス全体を自動化
強み6

[ 理由6 ]

パフォーマンス

ビルドプロセスへの影響はごくわずか
強み7

[ 理由7 ]

提供形態

サービスなので、すぐに始められる / 新規の設備投資が不要
強み8

[ 理由8 ]

費用

年間100万円未満から始められる
 WhiteSourceと競合製品の比較
項目
WhiteSource
競合製品
データベースサイズ
300万コンポーネントと7000万ソースファイルで構成 150万のオープンソースプロジェクトが登録
脆弱性情報源と情報量
12の第三者OSSデータベースとも連携
脆弱性情報23万以上
主に2つのOSSデータベースからの情報
脆弱性情報8万以上
解決策の提示
70%以上の脆弱性に対して解決策提示 僅かな数の脆弱性に対して解決策提示
正確性
誤検知はほぼ無いマッチングのアルゴリズム 診断結果の重複と誤検知で、手動による分析が必要
統合化・プログラミング言語
多くの開発ツール及びプログラミング言語をサポート
開発プロセス全体を自動化
一部の開発ツールとは統合可能
パフォーマンス
ビルドプロセスへの影響はごくわずか 影響大
ビルドプロセスに数時間影響する場合も
提供形態
サービスなので、すぐに始められる
新規の設備投資が不要
オンプレミスでの提供のため、ユーザー側でサーバーやデータベースの導入が必要
始めるまでにコストがかかる
費用
年間100万円未満から始められる 年間数百万円~という場合が多い

レポート・リスト例


  1.  スキャン結果の全体情報(ダッシュボード)

    スキャン結果の全体情報(ダッシュボード)
  2.  アラートリスト(リスク、問題点を持つ使用中のOSS

    アラートリスト(リスク、問題点を持つ使用中のOSS)
  3.  ライセンスリスト(利用しているOSSのライセンス種別)

    ライセンスリスト(利用しているOSSのライセンス種別)
  4.  インベントリレポート(利用しているOSSのリストと詳細)

    インベントリレポート(利用しているOSSのリストと詳細)
  5.  修正候補の提示(アラートの出たOSSの修正候補)

    修正候補の提示(アラートの出たOSSの修正候補)
  6.  リスクレポート

    リスクレポート

ライセンス価格


  1. 年間使用料(サブスクリプション / 税込)
    1,097,800円〜
  2. まずは、無償のトライアル版を
    お試し下さい!
    トライアル版お申し込み
  •  上記金額は貢献開発者数10、プログラミング言語数3、アプリケーション数10の場合のものです。
  •  貢献開発者数、アプリケーション数、プログラミング言語数などによって使用料が変わります。ご購入前に必ずお問い合わせください。