Upload
others
View
0
Download
0
Embed Size (px)
Citation preview
© Hitachi Solutions, Ltd. 2012. All rights reserved.
オープンソース管理ソリューション 『Black Duck』のご紹介
株式会社 日立ソリューションズ
ET2012 2012/11/14(水)~11/16(金)
© Hitachi Solutions, Ltd. 2012. All rights reserved.
1 オープンソースのこと、知っていますか?
1
オープンソースとは・・・
• 無料で使えるソフトウェア → 導入コストは低いが、サポート等の費用がかかる → 品質や第三者権利侵害などへの保証が無い • 自由に使えるソフトウェア → ライセンスにより使用条件が定められている → 改造(改変)した為に独自開発部分のソースコードを 公開しなければならなくなる → プログラムのアルゴリズムは第三者の特許である場合がある
コスト
© Hitachi Solutions, Ltd. 2012. All rights reserved.
2 オープンソース利用のメリットと注意点
2
オープンソース利用のメリット
• 開発コストの削減 • イノベーションと製品機能性の向上
オープンソースについての注意点
• 品質・セキュリティ脆弱性 • 第三者の知的財産権侵害 • ライセンス違反
© Hitachi Solutions, Ltd. 2012. All rights reserved.
3 オープンソースライセンス違反のリスク
3
•開発手戻りによるコストの増加
•製品リリースの遅延 ソースコード修正
•機密情報の流出
•独自技術の公開 ソースコード開示
•企業イメージの失墜
•取引停止 実名公開・報道
•訴訟費用負担の義務
•保証金・賠償金支払いの義務 訴訟
•お客様への告知・お詫び
•回収費用の負担 製品回収
ライセンス違反
企業にとって 深刻なビジネスリスク
ライセンス違反に伴う 訴訟が増加
© Hitachi Solutions, Ltd. 2012. All rights reserved.
4 オープンソースライセンス違反の要因
4
オープンソースライセンス違反の要因
1.ライセンスの理解不足による安易な流用 • ライセンス条文は英語で法律用語を多用しており、難解
• 他人の誤った解釈を鵜呑みにして流用
2.オープンソースの意図せぬ混入 • 開発委託先が勝手に使用して開発、納品される
• 過去資産の不用意な再利用
• テスト用コードやサンプル実装などの削除忘れ
© Hitachi Solutions, Ltd. 2012. All rights reserved.
5 オープンソースを正しく利用するためには
5
オープンソースを正しく利用するためには
1.ソフトウェアの構成を理解する • 意図しない混入防止のための網羅的なチェック
• 適切な部品管理 (各部品の出所と属性を把握する)
2.オープンソースの利用をマネジメントする • ライセンス理解の為の教育
• オープンソース利用ポリシーの策定
• 利用を審査・承認する仕組み (法務や知財の観点も必要)
© Hitachi Solutions, Ltd. 2012. All rights reserved.
6 Black Duck Suite
6
戦略的利用と効率的なマネジメントを実現するツール群
Black Duck Suite Safe OSS Use オープンソースライセンスの分析・検証
Inner-Sourcing コンポーネントの検索・承認・管理
Export Management 暗号アルゴリズムの分析・検証
日立ソリューションズはBlack Duckのパートナーとしてツールの販売およびオープンソースに関するコンサルティングを提供しています
© Hitachi Solutions, Ltd. 2012. All rights reserved.
7 Black Duck Protex 機能イメージ
7
オープンソース
サードパーティ製コード
自製ソースコード
アプリケーションサーバ
KnowledgeBase
オープンソースの データベース
ソースコードを解析して オープンソースとマッチするファイルを検出
開発グループ
レビュー委員会
ソフトウェア コンポーネント
構成リスト
ライセンス矛盾
• 網羅的なチェックによりライセンス違反を予防 • 意図しないオープンソースの混入防止によりコンプライアンス遵守を実現
© Hitachi Solutions, Ltd. 2012. All rights reserved.
8 Protex によるソフトウェア構成の把握
8
Protexの機能① プロジェクトに含まれているオープンソースを検出
・ 世界最大規模のオープンソースデータベース(KnowledgeBase) ・ 高精度のマッチング技術(Code Print) ・ “オープンソースと似ている部分”を検出し確認することで、流用を特定
ソフトウェアコンポーネント 構成リスト
オープンソースの 利用を確認
Code Printを生成
検証対象 ソースコード
KnowledgeBase
Code Printを生成
一致
オープンソースの各種情報 ・ 名称、バージョン、ライセンス ・ 使用にあたっての義務 等
© Hitachi Solutions, Ltd. 2012. All rights reserved.
9 Protex 画面イメージ
9
スキャンされたソースコード
スキャンされたソースコードとマッチしたKnowledge Base内のオープンソースコンポーネントのリスト
ソースコードの解析、判定等の作業を実施 オープンソースのメタ情報等はKnowledge Base内で保有し、オープンソースのソースコードはBlack Duck社サーバ内に保有
Webブラウザで、検証から結果確認まで自席PCで行えます
© Hitachi Solutions, Ltd. 2012. All rights reserved.
10 Protex によるライセンスチェック
10
Protexの機能② 混在するコンポーネントのライセンス矛盾を検出
・ 使用しているオープンソースや自製コードのライセンス矛盾を報告
『どのライセンス』 の 『どの条文』 が矛盾しているか詳細な情報を視覚的に表示
© Hitachi Solutions, Ltd. 2012. All rights reserved.
11 Black Duck Protex
11
ライセンス違反の予防 ・ コンプライアンス遵守 に有効なライセンスチェックツール
日立ソリューションズでは 【Black Duck Protexのライセンス販売】および【Protexを使用した分析・検証サービス】
をご提供しております
© Hitachi Solutions, Ltd. 2012. All rights reserved.
12 オープンソースを正しく利用するためには
12
オープンソースを正しく利用するためには
1.ソフトウェアの構成を理解する • 意図しない混入防止のためのチェック
→ Black Duck Protex • 適切な部品管理
→ Black Duck CodeCenter 2.オープンソースの利用をマネジメントする
• ライセンス理解の為の教育
→ オープンソース関連教育 • オープンソース利用ポリシーの策定 • 利用を審査・承認する仕組み
→ オープンソース運用支援コンサルティング
Black Duck社のツールで実現
のコンサルティングで実現