日立ソリューションズは、社会生活や企業活動を支えるソリューションを提供し、持続可能な社会の実現に取り組んでいます。
2019年5月16日
株式会社日立ソリューションズ
ライセンス違反や脆弱性を手軽に可視化できる商品ラインナップの拡充で、リスクを低減
株式会社日立ソリューションズ(本社:東京都品川区、取締役社長:星野 達朗/以下、日立ソリューションズ)は、オープンソースソフトウェア(OSS)の安心・安全な活用と開発効率向上を支援する「オープンソース管理ソリューション」を強化するため、OSSの脆弱性をより手軽に可視化できるクラウドサービスや、バイナリファイルに含まれるOSSを検出できる製品を、5月17日から販売開始します。
具体的には、WhiteSource Software Ltd. (本社:イスラエル、Co-Founder and CEO: Rami Sass/以下、WhiteSource社)のOSSのライセンス違反や脆弱性リスクを可視化する標準的な機能を低価格で提供するクラウドサービス「WhiteSource」と、Insignary, Inc.(本社:韓国、CEO: Tae-Jin (TJ) Kang, Mahnjoon Jang/以下、Insignary社)のバイナリファイルに含まれるOSSからライセンス違反や脆弱性リスクを可視化する解析ツール「Insignary Clarity」の販売代理店契約を締結しました。
これにより、企業は、大規模なソフトウェア開発に加え、中小規模の開発でも手軽にOSS管理を行えるようになります。また、複数の企業による共同開発などで、ソースコードが共有されない場合でも、これまで難しかったバイナリファイルに含まれるOSSの検出を可能にすることで、ライセンス違反や脆弱性のリスクにも対応します。
日立ソリューションズは、今後も「オープンソース管理ソリューション」を通じて、組織的なOSS管理の導入を実現するため、経験豊富なコンサルタントが、体制・プロセスの構築からガイドラインの策定や教育、サービスやツールの導入まで一貫した支援サービスを提供します。そして、ライセンス違反や脆弱性リスクの低減を支援し、業種・業態を問わない幅広いお客様のOSSを活用したデジタル変革に貢献していきます。
近年、ITシステム開発、車載システムやIoT機器等の組込みソフトウェア開発など、幅広い分野においてOSSの活用が急速に普及しています。OSSの積極的な活用により、開発効率の向上や先端技術の利用が可能になりますが、その一方で、OSSライセンスのコンプライアンス違反やOSSの脆弱性を突いたサイバー攻撃による機密情報の漏えいなど、深刻なビジネスリスクをもたらすこともあります。
このような状況の中、日立ソリューションズは、Synopsys, Inc.(本社:米国カリフォルニア州、以下、Synopsys社)の「Black Duck」を活用したOSSのライセンス違反や脆弱性のリスクを軽減するコンサルティングサービスを「オープンソース管理ソリューション」として提供してきました。「Black Duck」は、大規模でクリティカルなソフトウェア開発にも対応できる豊富な機能を特長としています。
日立ソリューションズはこのたび、さまざまな企業でのOSS活用の拡大に伴い、標準的な機能を気軽に利用できるクラウドサービス「WhiteSource」をラインナップに加えました。
また、これまで技術的制約によりOSSをバイナリファイルから検出することは困難でした。そのため、複数の企業による共同開発などでソースコードが共有されない場合において、意図せずOSSが含まれてしまう問題がありました。日立ソリューションズは、このような問題を解決するため、バイナリファイルからのOSS検出を可能にする「Insignary Clarity」もラインナップに追加しました。
1. 標準的な機能に限定して提供し、初期投資を抑えられるクラウドサービス「WhiteSource」を活用することで、中小規模のソフトウェア開発でも手軽にOSS管理の導入が可能
2. バイナリファイルに含まれるOSSを検出できる「Insignary Clarity」を活用することで、ソースコードが共有されない場合のOSSに含まれるライセンス違反や脆弱性のリスクにも対応
3. 日立ソリューションズがお客様に代わって、「WhiteSource」と「Insignary Clarity」を活用し、OSSを解析する代行サービスを提供
1. WhiteSource社の「WhiteSource」
プログラムの中で使用しているOSSのライセンスリスク・脆弱性リスクを可視化するためのOSSチェックツールです。標準的な機能に限定したクラウドサービスを活用することで、企業は運用コストを軽減できます。中小規模のプロジェクトやOSS管理初心者のお客様でも気軽に利用可能です。
本ツールは、NVD※1等から引用する脆弱性情報、GitHub の issue tracker、OSSプロジェクトのバグトラッカーなどを参照し、約180,000のセキュリティ脆弱性情報をカバーしています。
URL : https://jp.whitesourcesoftware.com/
2. Insignary社の「Insignary Clarity」
独自のフィンガープリントマッチング技術※2や、NVDのようなセキュリティデータベースとの突合せによって、バイナリファイルに含まれるOSSを検出します。
これにより、ソースコードやリバースエンジニアリングを必要とせず、バイナリファイルからライセンスリスク・脆弱性リスクを可視化できます。クラウドサービスとしてもご利用いただけます。
URL : https://www.insignary.com/opensource_scanning_JP
*1 NIST(アメリカ国立標準技術研究所)が管理している脆弱性情報データベース
*2 バイナリファイルのパターンから文字列・変数・関数などを識別し、OSSの利用の有無を検出する技術
個別見積
2019年5月17日
「WhiteSource」
https://www.hitachi-solutions.co.jp/whitesource/
「Insignary Clarity」
https://www.hitachi-solutions.co.jp/clarity/
「オープンソース管理ソリューション」
https://www.hitachi-solutions.co.jp/oms/
担当部署:経営企画本部 広報・宣伝部
担当:廣納(ひろのう)、安藤
TEL:03-5479-5013
E-mail:koho@hitachi-solutions.com
※ Insignary、Insignary Clarityは、Insignary, Inc.の商標または登録商標です。
※ WhiteSourceは、WhiteSource Software Ltd.の登録商標です。
※ 記載の会社名、製品名は、それぞれの会社の商標もしくは登録商標です。
PDFファイルをご覧いただくには "Adobe Reader"が必要です。
最新版はAdobe社のWebサイトよりダウンロードできます。(無償)
