© Hitachi Solutions, Ltd. 2012. All rights reserved.

オープンソース管理ソリューション 『Black Duck』のご紹介

株式会社 日立ソリューションズ

ET2012 2012/11/14(水)～11/16(金)

© Hitachi Solutions, Ltd. 2012. All rights reserved.

１ オープンソースのこと、知っていますか？

1

オープンソースとは・・・

• 無料で使えるソフトウェア → 導入コストは低いが、サポート等の費用がかかる → 品質や第三者権利侵害などへの保証が無い • 自由に使えるソフトウェア → ライセンスにより使用条件が定められている → 改造(改変)した為に独自開発部分のソースコードを 公開しなければならなくなる → プログラムのアルゴリズムは第三者の特許である場合がある

コスト

© Hitachi Solutions, Ltd. 2012. All rights reserved.

２ オープンソース利用のメリットと注意点

2

オープンソース利用のメリット

• 開発コストの削減 • イノベーションと製品機能性の向上

オープンソースについての注意点

• 品質・セキュリティ脆弱性 • 第三者の知的財産権侵害 • ライセンス違反

© Hitachi Solutions, Ltd. 2012. All rights reserved.

３ オープンソースライセンス違反のリスク

3

•開発手戻りによるコストの増加

•製品リリースの遅延 ソースコード修正

•機密情報の流出

•独自技術の公開 ソースコード開示

•企業イメージの失墜

•取引停止 実名公開・報道

•訴訟費用負担の義務

•保証金・賠償金支払いの義務 訴訟

•お客様への告知・お詫び

•回収費用の負担 製品回収

ライセンス違反

企業にとって 深刻なビジネスリスク

ライセンス違反に伴う 訴訟が増加

© Hitachi Solutions, Ltd. 2012. All rights reserved.

４ オープンソースライセンス違反の要因

4

オープンソースライセンス違反の要因

１．ライセンスの理解不足による安易な流用 • ライセンス条文は英語で法律用語を多用しており、難解

• 他人の誤った解釈を鵜呑みにして流用

２．オープンソースの意図せぬ混入 • 開発委託先が勝手に使用して開発、納品される

• 過去資産の不用意な再利用

• テスト用コードやサンプル実装などの削除忘れ

© Hitachi Solutions, Ltd. 2012. All rights reserved.

５ オープンソースを正しく利用するためには

5

オープンソースを正しく利用するためには

１．ソフトウェアの構成を理解する • 意図しない混入防止のための網羅的なチェック

• 適切な部品管理 (各部品の出所と属性を把握する)

２．オープンソースの利用をマネジメントする • ライセンス理解の為の教育

• オープンソース利用ポリシーの策定

• 利用を審査・承認する仕組み (法務や知財の観点も必要)

© Hitachi Solutions, Ltd. 2012. All rights reserved.

６ Black Duck Suite

6

戦略的利用と効率的なマネジメントを実現するツール群

Black Duck Suite Safe OSS Use オープンソースライセンスの分析・検証

Inner-Sourcing コンポーネントの検索・承認・管理

Export Management 暗号アルゴリズムの分析・検証

日立ソリューションズはBlack Duckのパートナーとしてツールの販売およびオープンソースに関するコンサルティングを提供しています

© Hitachi Solutions, Ltd. 2012. All rights reserved.

７ Black Duck Protex 機能イメージ

7

オープンソース

サードパーティ製コード

自製ソースコード

アプリケーションサーバ

KnowledgeBase

オープンソースの データベース

ソースコードを解析して オープンソースとマッチするファイルを検出

開発グループ

レビュー委員会

ソフトウェア コンポーネント

構成リスト

ライセンス矛盾

• 網羅的なチェックによりライセンス違反を予防 • 意図しないオープンソースの混入防止によりコンプライアンス遵守を実現

© Hitachi Solutions, Ltd. 2012. All rights reserved.

８ Protex によるソフトウェア構成の把握

8

Protexの機能① プロジェクトに含まれているオープンソースを検出

・ 世界最大規模のオープンソースデータベース(KnowledgeBase) ・ 高精度のマッチング技術(Code Print) ・ “オープンソースと似ている部分”を検出し確認することで、流用を特定

ソフトウェアコンポーネント 構成リスト

オープンソースの 利用を確認

Code Printを生成

検証対象 ソースコード

KnowledgeBase

Code Printを生成

一致

オープンソースの各種情報 ・ 名称、バージョン、ライセンス ・ 使用にあたっての義務 等

© Hitachi Solutions, Ltd. 2012. All rights reserved.

９ Protex 画面イメージ

9

スキャンされたソースコード

スキャンされたソースコードとマッチしたKnowledge Base内のオープンソースコンポーネントのリスト

ソースコードの解析、判定等の作業を実施 オープンソースのメタ情報等はKnowledge Base内で保有し、オープンソースのソースコードはBlack Duck社サーバ内に保有

Webブラウザで、検証から結果確認まで自席PCで行えます

© Hitachi Solutions, Ltd. 2012. All rights reserved.

１０ Protex によるライセンスチェック

10

Protexの機能② 混在するコンポーネントのライセンス矛盾を検出

・ 使用しているオープンソースや自製コードのライセンス矛盾を報告

『どのライセンス』 の 『どの条文』 が矛盾しているか詳細な情報を視覚的に表示

© Hitachi Solutions, Ltd. 2012. All rights reserved.

１１ Black Duck Protex

11

ライセンス違反の予防 ・ コンプライアンス遵守 に有効なライセンスチェックツール

日立ソリューションズでは 【Black Duck Protexのライセンス販売】および【Protexを使用した分析・検証サービス】

をご提供しております

© Hitachi Solutions, Ltd. 2012. All rights reserved.

１２ オープンソースを正しく利用するためには

12

オープンソースを正しく利用するためには

１．ソフトウェアの構成を理解する • 意図しない混入防止のためのチェック

→ Black Duck Protex • 適切な部品管理

→ Black Duck CodeCenter ２．オープンソースの利用をマネジメントする

• ライセンス理解の為の教育

→ オープンソース関連教育 • オープンソース利用ポリシーの策定 • 利用を審査・承認する仕組み

→ オープンソース運用支援コンサルティング

Black Duck社のツールで実現

のコンサルティングで実現

© Hitachi Solutions, Ltd. 2012. All rights reserved.

END

END オープンソース管理ソリューション 『Black Duck』のご紹介