FossIDは、ソースコードに含まれる OSS コンポーネントのライセンスとセキュリティ脆弱性を管理するためのソフトウェアです。ホワイトペーパー公開中!
1. コンプライアンスを制する者はソフトウェアを制す
2. ソフトウェア業界におけるオープンソースコンプライアンス関連の4つの課題
3. ソースコードスニペット検出能力を考慮する必要がある理由とは?
※ スマホ、タブレットでをご利用の場合は、ページ下部までスクロールし、[ホワイトペーパー]をタップすると、ダウンロードいただけます。
プロジェクトに含まれているOSSのライセンスを把握したい
プロジェクトに含まれているOSSの脆弱性情報を知りたい
SBOM(Software Bill of Materials:ソフトウェア部品表※)を作成したい
※SBOM(Software Bill Of Materials:ソフトウェア部品表)
SBOM(エスボム)とは、ソフトウェアの構成要素(モジュール、ライブラリなど)を一覧にした、"ソフトウェアの部品表"です。SBOMを作成することで、ソフトウェアのサプライチェーンの可視化に役立ったり、使用されているライセンスのコンプライアンス、セキュリティ(脆弱性)や品質に関するリスクを明らかにできるため、近年では益々SBOM整備が重要となっています。
FossIDはOSSコンプライアンスのためのソリューションです。お客様のプロジェクトをスキャンしてコードベース内のオープンソース・コンポーネントとそれに対応するライセンスを検出し、どのようなライセンスのOSSが含まれているかを識別することができます。
‣ ライセンスを検出するためのスキャン機能
(コンポーネントライセンス、ファイルライセンス、スニペットサーチ)
[適切なコンポーネントの特定]
オープンソースプロジェクトは継続的にフォーク(オリジナルのプロジェクトから新たなプロジェクトを立ち上げること)され、再利用されています。そのため、OSSスキャンツールによっては無関係な派生のプロジェクトのリストを含むノイズの多いレポートを作成する傾向があります。FossIDは、フォルダ、ライブラリ、アーカイブ、バイナリなど、OSSコンポーネントの本当の出所を素早く特定し、面倒な分析の時間を大幅に短縮します。
[ファイルライセンスの特定]
品質保証ツールや開発スクリプトによって自動的にファイルが変更されると、一致するファイルの識別が難しくなり、ライセンス遵守のための適切な措置が必要となる場合があります。化画期的なFossIDの検索アルゴリズムは、たとえ編集されたファイルであっても検出を可能にします。
[コードスニペットの検出]
新機能の実装やバグ修正の際に、効率を最大化するためにウェブ上から使えそうなコードをコピー・ペーストすることはよくあることです。FossIDはオープンソースコードのスニペット(コードの一部分)に対応するOSSのライセンスを見つけだし、OSS利用のライセンスガイドラインが守られているかを適切に判断することによりプロジェクト開発に専念することができます。
‣ スキャンのスペック(スキャンスピード、対応言語、KBのスペックなど)
最速!スキャンエンジン
FossIDの革新的な検索エンジンは最速のオープンソーススキャンエンジンです。高速のスキャン(70ファイル/秒)を可能にし、スキャン時の誤検知を排除するためのAI(人工知能)コンポーネントを搭載しています。
OSSナレッジベース
広範にわたるオープンソース・ソフトウェア・ナレッジベース(KB)。FossIDのナレッジベース(KB)は、世界中のオープンソースリポジトリからボットによって自動的に収集された2ペタバイト以上のソースコードのデータベースです。
ナレッジベースのサイズスペック
・3500万のプロジェクト
・14億のファイル
・580億のスニペット
・13.1万の脆弱性情報
対応言語
C, C#, C++, Java, JavaScript, PHP, Python, OBJ-C, Ruby, Swift, Scala, Perl, Go, R, VB, F#, Rust etc.
‣ ユーザーインターフェイス(WebApp, CLI, RESTful API)
[FossID Webアプリケーション]
すべてのFossIDの機能はWebブラウザを使用して視覚的に操作することが可能です。また、RESTful APIによるアクセスも可能ですので、既存の開発フローに統合することもできます。
[FossID CLI (コマンドラインインターフェイス)]
FossIDのプログラマブルなCLIは、SPDXの標準ライセンス識別子にしたがってスキャン結果をJSON形式で提供し、簡単にスキャン結果のデータ出力を得られます。CLIは既存の開発フローや開発ツールとのインテグレーションが容易に行えます。
ユーザーインターフェイスの構成図
※OSSの脆弱性
脆弱性(ぜいじゃくせい)とは、コンピュータのOSやソフトウェアにおいて、プログラムの不具合や設計上のミスが原因となって発生したサイバーセキュリティ上の欠陥のことを言います。脆弱性は、セキュリティホールとも呼ばれます。脆弱性が残された状態でコンピュータを利用していると、不正アクセスに利用されたり、ウイルスに感染したりする危険性があります。脆弱性が発見されると、多くの場合、ソフトウェアを開発したメーカーが更新プログラムを作成して提供しますが、OSS利用の際には、公開されている脆弱性情報を常にウォッチしておき、脆弱性が発見された場合には、できる限り迅速にOSSのアップデートをする(修正プログラムの適用)と言った対策が求められます。
‣ 検出された脆弱性情報の内容
検出されたOSSのコンポーネント・バージョンに基づき、脆弱性情報が表示されます。
脆弱性情報には、共通脆弱性識別子(CVE)、CVSS Baseスコア(V2, V3)、攻撃元区分、攻撃条件の容易性、可用性の影響、CPE が含まれます。
‣ 脆弱性情報のソース
NIST (米国標準技術研究所) のNVD (脆弱性情報データベース) から得られた情報を元に脆弱性情報を表示します。
NVDの該当する脆弱性情報へのリンクも表示されますので、NVD内の脆弱性情報データベースを直接閲覧することもできます。
‣ FossIDでは種々のレポートが出力できます( レポート出力機能)
フルFossIDレポート
インタラクティブなHTMLレポートで、ID識別されたオープンソース・コンポーネント、ファイル、 ライセンス情報、脆弱性情報、依存性情報などを含みます。出力されたレポートはオフライン環境で参照できます。
Excelシート
ライセンス、コンポーネント、脆弱性、識別情報などがそれぞれのシートに整理されたExcelファイルで出力されます。
暫定レポート
インタラクティブなHTMLレポートで、識別や監査作業なしでスキャンされた各ファイルのトップにマッチしたOSSコンポーネントが表示されます。
グレープシステムでは、FossIDのレポート内容をまとめてご提示する「OSS検査サービス」も別途ご提供しております。
‣ SPDXの機能
Software Package Data Exchange (SPDX) 仕様は、コンポーネントやソフトウェアパッケージにひもづくライセンスや著作権情報をやりとりするための標準フォーマットです。 このレポートタイプを指定すると、SPDX準拠のXMLファイルを出力します。 また、このSPDXレポートから別のスキャンを生成することもでき、再度スキャンを実行してソースコードと関連付けることも可能です。
提供形態は、標準ディプロイメントと評価用ディプロイメントの2種類があります。
年間サブスクリプション
※詳細(価格を含め)は営業までお気軽にお問い合わせください。
2022年10月に行ったマジセミ社主催のFossIDセミナーのアーカイブ動画です。
下記のバナーよりご視聴ください。
※ 視聴するには、アンケートへの回答が必要です。
フォームが表示されるまでしばらくお待ち下さい。
恐れ入りますが、しばらくお待ちいただいてもフォームが表示されない場合は、こちらまでお問い合わせください。
