FossIDは、ソースコードに含まれる OSS コンポーネントのライセンスとセキュリティ脆弱性を管理するためのソフトウェアです。プロジェクトに含まれているOSSのライセンスを把握したい
プロジェクトに含まれているOSSの脆弱性情報を知りたい
SBOM(Software Bill of Materials:ソフトウェア部品表※)を作成したい
※SBOM(Software Bill Of Materials:ソフトウェア部品表)
SBOM(エスボム)とは、ソフトウェアの構成要素(モジュール、ライブラリなど)を一覧にした、"ソフトウェアの部品表"です。SBOMを作成することで、ソフトウェアのサプライチェーンの可視化に役立ったり、使用されているライセンスのコンプライアンス、セキュリティ(脆弱性)や品質に関するリスクを明らかにできるため、近年では益々SBOM整備が重要となっています。
FossIDはOSSコンプライアンスのためのソリューションです。お客様のプロジェクトをスキャンしてコードベース内のオープンソース・コンポーネントとそれに対応するライセンスを検出し、どのようなライセンスのOSSが含まれているかを識別することができます。
‣ ライセンスを検出するためのスキャン機能
(コンポーネントライセンス、ファイルライセンス、スニペットサーチ)
[適切なコンポーネントの特定]
オープンソースプロジェクトは継続的にフォーク(オリジナルのプロジェクトから新たなプロジェクトを立ち上げること)され、再利用されています。そのため、OSSスキャンツールによっては無関係な派生のプロジェクトのリストを含むノイズの多いレポートを作成する傾向があります。FossIDは、フォルダ、ライブラリ、アーカイブ、バイナリなど、OSSコンポーネントの本当の出所を素早く特定し、面倒な分析の時間を大幅に短縮します。
[ファイルライセンスの特定]
品質保証ツールや開発スクリプトによって自動的にファイルが変更されると、一致するファイルの識別が難しくなり、ライセンス遵守のための適切な措置が必要となる場合があります。化画期的なFossIDの検索アルゴリズムは、たとえ編集されたファイルであっても検出を可能にします。
[コードスニペットの検出]
新機能の実装やバグ修正の際に、効率を最大化するためにウェブ上から使えそうなコードをコピー・ペーストすることはよくあることです。FossIDはオープンソースコードのスニペット(コードの一部分)に対応するOSSのライセンスを見つけだし、OSS利用のライセンスガイドラインが守られているかを適切に判断することによりプロジェクト開発に専念することができます。
‣ スペック(ナレッジベースサイズ、スキャンスピード、対応言語など)
広範にわたるオープンソースソフトウェアナレッジベース
3PB (Peta Bytes) のオープンソースコードを人手を介さずにデータベース化
高速なスキャンエンジン
・1秒間に約70ファイルをスキャン
・同様他社システムに比べて数十倍のスキャンスピード
対応言語
C, C#, C++, Java, JavaScript, PHP,
Python, OBJ-C, Ruby, Swift, Scala,
Perl, Go, R, VB, F#, Rust etc.
‣ ユーザーインターフェイス
ユーザーインターフェイスの構成図
[Workbench (Web UI), RPC API]
すべてのFossIDの機能はWorkbench (Web UI)を使用して視覚的に操作することが可能です。また、RPC APIによるアクセスも可能ですので、既存の開発フローに統合することもできます。
[Command Line Interface (CLI) ]
FossIDのプログラマブルなCLIは、SPDXの標準ライセンス識別子にしたがってスキャン結果をJSON形式で提供し、簡単にスキャン結果のデータ出力を得られます。CLIを使用することで既存の開発フローや開発ツールとのインテグレーションが容易に行えます。
※OSSの脆弱性
脆弱性(ぜいじゃくせい)とは、コンピュータのOSやソフトウェアにおいて、プログラムの不具合や設計上のミスが原因となって発生したサイバーセキュリティ上の欠陥のことを言います。脆弱性は、セキュリティホールとも呼ばれます。脆弱性が残された状態でコンピュータを利用していると、不正アクセスに利用されたり、ウイルスに感染したりする危険性があります。脆弱性が発見されると、多くの場合、ソフトウェアを開発したメーカーが更新プログラムを作成して提供しますが、OSS利用の際には、公開されている脆弱性情報を常にウォッチしておき、脆弱性が発見された場合には、できる限り迅速にOSSのアップデートをする(修正プログラムの適用)と言った対策が求められます。
‣ 検出された脆弱性情報の内容
検出されたOSSのコンポーネント・バージョンに基づき、脆弱性情報が表示されます。
脆弱性情報には、共通脆弱性識別子(CVE)、CVSS Baseスコア(V2, V3)、攻撃元区分、攻撃条件の容易性、可用性の影響、CPE が含まれます。
‣ 脆弱性情報のソース
NIST (米国標準技術研究所) のNVD (脆弱性情報データベース) から得られた情報を元に脆弱性情報を表示します。
NVDの該当する脆弱性情報へのリンクも表示されますので、NVD内の脆弱性情報データベースを直接閲覧することもできます。
‣ VulnSnippet Finder パッケージ(オプション)
VulnSnippet Finderは、コード/スニペットの脆弱性部分を正確に検出!
(多くのセキュリティスキャナは、コンポーネント/バージョンに基づいてOSSの脆弱性を検出)
脆弱性のあるOSSスニペットの検出
FossID ナレッジ・ベースのスニペット検出機能は、脆弱性のあるOSSスニペットの特別な検出を実行するように拡張することができます。
管理されていない(パッケージマニフェストで宣言されていない)OSSを扱う場合、脆弱性をもたらすコード部分を正確に把握することは極めて重要です
ソース コードに存在することがわかっている脆弱性については、ビルド時に通知することができます
200k以上の脆弱なスニペットを専門家がキュレーション
‣ FossIDでは種々のレポートが出力できます( レポート出力機能)
フルFossIDレポート
インタラクティブなHTMLレポートで、ID識別されたオープンソース・コンポーネント、ファイル、 ライセンス情報、脆弱性情報、依存性情報などを含みます。出力されたレポートはオフライン環境で参照できます。
暫定レポート
インタラクティブなHTMLレポートで、識別や監査作業なしでスキャンされた各ファイルのトップにマッチしたOSSコンポーネントが表示されます。
Excelシート
ライセンス、コンポーネント、脆弱性、識別情報などがそれぞれのシートに整理されたExcelファイルで出力されます。
SBOMフォーマット
SPDX仕様に準拠したRDFファイルの出力、SPDX Lite、Cyclone DX にも対応 (チェック機能もアリ)
グレープシステムでは、FossIDのレポート内容をまとめて提示する「OSS検査サービス」も別途提供しています。
レギュラー構成と評価用のオフライン構成があります。
年間サブスクリプション
※価格を含めた詳細はお問い合わせください。
2022年10月に行ったマジセミ社主催のFossIDセミナーのアーカイブ動画です。
下記のバナーよりご視聴ください。
※ 視聴するには、アンケートへの回答が必要です。
ホワイトペーパー公開中!
1. コンプライアンスを制する者はソフトウェアを制す
2. ソフトウェア業界におけるオープンソースコンプライアンス関連の4つの課題
3. ソースコードスニペット検出能力を考慮する必要がある理由とは?
フォームが表示されるまでしばらくお待ち下さい。
恐れ入りますが、しばらくお待ちいただいてもフォームが表示されない場合は、こちらまでお問い合わせください。
