WhiteSource
ホワイトソース
世界中のOSS情報をデータベース化しマッチングすることで、リスクや問題を自動で把握・指摘することができるOSSセキュリティ&コンプライアンス管理ソリューション
ソフト開発における生産性の向上が
至上命題!
- リリースまでの短いサイクル要求(→ DevOps)
- 開発コスト削減
- 最新技術の早期採用
ソースコードが公開されていて簡単に入手できるOSSを
使わない手はない!
OSSが随所に使われている中で、完全に把握できていないかも?
OSSの主なライセンス種類と脆弱性・ライセンス違反事例
- OSSの主なライセンス種類
- OSSの脆弱性・ライセンス違反事例
ライセンスの種類は70以上あります。以下は主なライセンスです。
ライセンス |
Required(必須) |
Permitted(許可) |
Forbidden(禁止) |
Apache v2 |
著作権の表示、変更箇所の明示 | 商用利用、修正、配布、サブライセンス、特許許可 | トレードマークの使用、責任免除 |
GPL v2 |
著作権の表示、変更箇所の明示、ソースの明示 | 商用利用、修正、配布、特許許可 | 責任免除、サブライセンス |
MIT |
著作権の表示 | 商用利用、修正、配布、サブライセンス | 責任免除 |
Mozilla Public v 2.0 |
ソースの明示、著作権の表示 | 商用利用、修正、配布、サブライセンス、特許許可 | 責任免除、トレードマークの使用 |
LGPL v2.1 |
著作権の表示、ライブラリの使用、ソースの明示 | 商用利用、修正、配布、サブライセンス、特許許可 | 責任免除 |
The BSD 3-Clause |
著作権の表示 | 商用利用、修正、配布、サブライセンス | 責任免除、トレードマークの使用 |
Artistic 2.0 |
著作権の表示、変更箇所の明示、ソースの明示 | 商用利用、修正、配布、サブライセンス、個人利用 | 責任免除、トレードマークの使用 |
GPL v3 |
著作権の表示、変更箇所の明示、ソースの明示 | 商用利用、修正、配布、特許許可 | 責任免除、サブライセンス |
LGPL v3 |
著作権の表示、ライブラリの使用、ソースの明示 | 商用利用、修正、配布、サブライセンス、特許許可 | 責任免除 |
Affero GPL |
著作権の表示、変更箇所の明示、ソースの明示 | 商用利用、修正、配布 | 責任免除、サブライセンス |
Public Domain |
— | 個人利用、商用利用、修正、配布、サブライセンス | 責任免除 |
No License |
著作権の表示 | 個人利用、商用利用 | 修正、配布、サブライセンス |
Eclipse Public v1.0 |
ソースの明示、著作権の表示 | 商用利用、修正、配布、サブライセンス、特許許可 | 責任免除 |
BSD 2-Clause |
著作権の表示 | 商用利用、修正、配布、サブライセンス | 責任免除 |
OSSの脆弱性やライセンス違反事例の発生は後を絶ちません。
No. |
内容 |
|
CVE-2011-3928 |
テスラモーターズの車載情報端末のブラウザー QtCarBrowser の WebKit エンジンに任意のコードが実行できる脆弱性 | |
CVE-2017-5638 |
Apache Struts 2 に、Jakarta Multipart parserのファイルアップロード処理に起因する、リモートで任意のコードが実行される脆弱性が存在 | |
CVE-2017-1000367 |
Linuxのsudoコマンドで全特権の取得 | |
CVE-2017-7925 |
ネットワーク管理者権限で任意の操作が行われる可能性 | |
CVE-2017-1001000 |
REST APIの脆弱性によるWebサイトの改ざん | |
CVE-2016-8747 |
Tomcatの脆弱性 セッションIDや応答などの情報漏洩の可能性 | |
CVE-2016-6662 |
OpenSSLの拡張機能Heartbeatに脆弱性が存在し、情報漏洩 | |
CVE-2015-0235 |
Ghost–glibcにバッファオーバーフローの脆弱性。DoS状態に陥ったり、リモートからのコード実行が可能になる恐れ | |
CVE-2014-6271 |
Shellshock--bashに存在する脆弱性 遠隔でシェルコマンドを実行することが可能になり、サーバが乗っ取られたり、不正プログラムに感染の恐れ |
|
WhiteSourceとは
WhiteSource(ホワイトソース)は世界中のOSS(Open-Source Software:オープンソースソフトウェア)情報をデータベース化しマッチングすることで、リスクや問題を自動で把握・指摘することができるOSSセキュリティ&コンプライアンス管理ソリューションです。
開発工数を削減したり、品質の高いアプリケーションを作成できるなどの多くのメリットがあることから、アプリケーション開発はOSSの利用が前提となっています。OSSはすでに数多くの ITソフトウェアや組込システムにも使われ、完成ソフトウェアコードの80%に使用されているといわれています。
メリットの多いOSSですが、一方では危険性もはらんでいます。例えばライセンスを正しく理解せずに利用した場合にはライセンス違反として訴訟を起こされる危険性があり、またOSSの脆弱性を常に監視し迅速に対処しなければ情報漏えいなどの事故に繋がる可能性もあります。しかしOSSの管理は手作業ではとても追いきれるものではなく、開発・経営の両視点から「自動化された管理ソリューション」が必須となっています。
WhiteSourceはOSSによるソフト開発のリスクを回避するためのセキュリティ&コンプライアンス管理ソリューションです。WhiteSourceを利用することにより、ソフトウェア開発者は適切かつ最適なOSSの利用が容易になり、開発生産性のアップに貢献します。また経営者はライセンス違反や脆弱性等に起因するトラブルを未然に回避することができるようになります。
[ リスク1 ]
脆弱性・
セキュリティ
WhiteSourceなら
セキュリティ確保のため、脆弱性を持つオープンソースの使用をWhiteSourceが指摘
[ リスク2 ]
ライセンス違反・
訴訟リスク
WhiteSourceなら
OSSのライセンス情報と危険度の指摘で法令・規則(ライセンス条項)の順守
[ リスク3 ]
オープンソースの
利用が未把握
WhiteSourceなら
どこでOSSを使用したか?無意識の内どこで使用されているか?を見える化
[ リスク4 ]
バグ・アップデート
対策
WhiteSourceなら
重大なバグや古いままのOSS使用を回避 / ソフトウェアリリース後でも追跡可能
特長
WhiteSourceは、以下の特長があります。
- 正確なデータベースとマッチング
- 多様なプログラミング環境に対応
- 多くのツールやシステム環境を統合的にサポート
- 継続的な運用に最適。リリース後も継続的に監視・報告
- チーム横断対応。システム開発ライフサイクルをフルカバー
- M&Aデューデリジェンス資産調査でのリスク検出
一般的なOSS管理ツールでは誤検出が多くなりがちで無駄な警告が発生し、運用コストが増大します。WhiteSourceは世界中のOSS情報をデータベース化。誤検出回避のための正確なマッチングを実施できるアルゴリズムを採用しています。
- 12の第三者OSSデータベース、3百万のコンポーネント、7千万のソースファイルを監視
- オープンソースコミュニティをベースに実行可能な解決策を提示
20以上のプログラミング言語の開発環境に対応。オープンソース・マネジメントソリューションを提供。
一般的なビルドツールやCIサーバと統合。安全にオープンソースコンポーネントを管理できます。
WhiteSourceは、オープンソースコンポーネントを各方面から継続的にトラッキング。製品のセキュリティと品質の問題点を継続的に監視できます。
- リリース後の自動トラッキングとアラートを提供
- 18万以上の脆弱性を検出、多様なソースとアドバイザリーを提供
- 世界中のOSS情報を継続的に監視し、データベース化
SDLC(システム開発ライフサイクル)のすべての段階において安全にオープンソースコンポーネントを管理。セキュリティ、エンジニアリング、法務部、それぞれの部門でOSSの活用やリスクを管理できます。
企業買収・合併(M&A)に際し、デューデリジェンス(企業価値評価)を行いますが、そのリスク判断としてOSSのイベントリレポートが必要になります。WhiteSourceで提供できます。
構成
WhiteSourceは、サービスとして提供されます。
WhiteSource利用者は、ローカルエージェントもしくは開発環境プラグインを導入するだけです。
全ての通信データは TLS(HTTPS)を利用するため安全です。
※ オンプレミスでの提供も可能です。詳しくはお問い合わせ下さい。
-
Step 1
開発環境に置かれたエージェントがそれぞれのファイルに対する独自の識別子(UID)を計算。すべての識別子(UID)が、 WhiteSource のサーバへと送付されます。
-
Step 2
UIDはWhiteSourceのマスターデータベースとマッチングされます。OSSと認識されたものに対して、セキュリティ、ライセンス、品質といった関連するすべてのデータが、ユーザ特定のOSSインベントリーに蓄積されます。
-
Step 3
ユーザアカウントの情報がアップデートされます。すべての解析データがオンラインで利用可能となります。
WhiteSourceが選ばれる「8つの理由」
[ 理由1 ]
データベースサイズ
300万コンポーネントと7000万ソースファイルで構成
[ 理由2 ]
脆弱性情報源と情報量
12の第三者OSSデータベースとも連携 / 脆弱性情報23万以上
[ 理由3 ]
解決策の提示
70%以上の脆弱性に対して解決策提示
[ 理由4 ]
正確性
誤検知はほぼ無いマッチングのアルゴリズム
[ 理由5 ]
統合化・言語
多くの開発ツール及びプログラミング言語をサポート / 開発プロセス全体を自動化
[ 理由6 ]
パフォーマンス
ビルドプロセスへの影響はごくわずか
[ 理由7 ]
提供形態
サービスなので、すぐに始められる / 新規の設備投資が不要
[ 理由8 ]
費用
年間100万円未満から始められる
WhiteSourceと競合製品の比較
項目 |
WhiteSource |
競合製品 |
データベースサイズ |
300万コンポーネントと7000万ソースファイルで構成 | 150万のオープンソースプロジェクトが登録 |
脆弱性情報源と情報量 |
12の第三者OSSデータベースとも連携 脆弱性情報23万以上 |
主に2つのOSSデータベースからの情報 脆弱性情報8万以上 |
解決策の提示 |
70%以上の脆弱性に対して解決策提示 | 僅かな数の脆弱性に対して解決策提示 |
正確性 |
誤検知はほぼ無いマッチングのアルゴリズム | 診断結果の重複と誤検知で、手動による分析が必要 |
統合化・プログラミング言語 |
多くの開発ツール及びプログラミング言語をサポート 開発プロセス全体を自動化 |
一部の開発ツールとは統合可能 |
パフォーマンス |
ビルドプロセスへの影響はごくわずか | 影響大 ビルドプロセスに数時間影響する場合も |
提供形態 |
サービスなので、すぐに始められる 新規の設備投資が不要 |
オンプレミスでの提供のため、ユーザー側でサーバーやデータベースの導入が必要 始めるまでにコストがかかる |
費用 |
年間100万円未満から始められる | 年間数百万円~という場合が多い |
レポート・リスト例
-
スキャン結果の全体情報(ダッシュボード)
-
アラートリスト(リスク、問題点を持つ使用中のOSS
-
ライセンスリスト(利用しているOSSのライセンス種別)
-
インベントリレポート(利用しているOSSのリストと詳細)
-
修正候補の提示(アラートの出たOSSの修正候補)
-
リスクレポート
- 貢献開発者数、アプリケーション数、プログラミング言語数などによって使用料が変わります。ご購入前に必ずお問い合わせください。