© 2014 Black Duck Software, Inc. All Rights Reserved.OSSOSSOSSOSSセキュリティセキュリティセキュリティセキュリティ脆弱性脆弱性脆弱性脆弱性とバージョンとバージョンとバージョンとバージョン氾濫氾濫氾濫氾濫をををを防防防防ぐにはぐにはぐにはぐには？？？？

November 22, 2014 金 承顕

2 © 2014 Black Duck Software, Inc. All Rights Reserved.

OUR VALUE

ブラック・ダックはオープンソースソフトウェアを効率的に管理

できる環境を提供することにより、お客様が基本的な競争分

野において多大なメリットを享受できることを使命とします。

Speed Cost Security Innovation

3 © 2014 Black Duck Software, Inc. All Rights Reserved.

24242424

ヶ国

185+185+185+185+

従業員

1,4001,4001,4001,400

顧客

BLACK DUCK 会社情報

Award for InnovationFour Years in the “Software

500” Largest Software

Companies

Six Years in a row

for Innovation

Gartner Group

“Cool Vendor”

“Top Place to Work,”

The Boston Globe

2014

Fortune誌誌誌誌がががが選選選選ぶぶぶぶTOP100社社社社のののの内内内内、、、、27社社社社がががが採用採用採用採用

ソフトウェアソフトウェアソフトウェアソフトウェア企業企業企業企業 上位上位上位上位10社中社中社中社中 7社社社社がががが採用採用採用採用

モバイルモバイルモバイルモバイル端末端末端末端末ベンダーベンダーベンダーベンダー 上位上位上位上位8社中社中社中社中 6社社社社がががが採用採用採用採用

投資銀行上位投資銀行上位投資銀行上位投資銀行上位10社中社中社中社中 6社社社社がががが採用採用採用採用

4 © 2014 Black Duck Software, Inc. All Rights Reserved.

ソフトウェアソフトウェアソフトウェアソフトウェア エレクトロニクスエレクトロニクスエレクトロニクスエレクトロニクス

政府政府政府政府メディアメディアメディアメディア

金融／サービス金融／サービス金融／サービス金融／サービス

インフラストラクチャーインフラストラクチャーインフラストラクチャーインフラストラクチャー

顧客企業

5 © 2014 Black Duck Software, Inc. All Rights Reserved.

オープンソースの動向

This roadmap is for information only and represents Black Duck Software's current view of its product development cycle. However,

these plans may be refined, updated, or revised from time to time, based on customer input and market conditions. None of the

information in this roadmap should be interpreted as a commitment on the part of Black Duck Software.

6 © 2014 Black Duck Software, Inc. All Rights Reserved.Chttp://blogs.olliancegroup.com

オープンソースによる新興企業の台頭

7 © 2014 Black Duck Software, Inc. All Rights Reserved.

ENTERPRISE OSS STACK

Cloud / ManagementCloud / Management Open NebulaOpen Nebula Open StackOpen StackEucalyptusEucalyptus

VirtualizationVirtualization Xen LKVM

LanguagesLanguages Javascript PythonC/C++ Java PHP ScalaPerl Ruby

DataData MySQLMySQL NoSQLNoSQLPostgreSQLPostgreSQL WebWeb Apache HTTPD

App ServerApp Server JBOSS GeronimoTomcat

DirectoryDirectory Open XchangeOpen LDAP

HadoopHadoop

EmailEmail PostfixPostfixDovecotDovecot SendGridSendGridCourierCourier

SearchSearch LuceneLucene SolrSolrNutchNutch SphinxSphinx

LinuxLinux OpenSuSEFedoraCore UbuntuCentosKernel.orgSystem Platform

Application Platform

Applications ApplicationsApplications

Alfresco Software, Inc.Alfresco Software, Inc.

Magento, Inc.Magento, Inc.

BonitaSoft S.A.BonitaSoft S.A. Acquia, Inc.Acquia, Inc.

OpenERP S.A.OpenERP S.A. SugarCRM, Inc.SugarCRM, Inc.Japsersoft CorporationJapsersoft Corporation

Content Management

eCommerce

Process Management

Resource Planning

Content Management

Customer Relationship ManagementBusiness Intelligence

8 © 2014 Black Duck Software, Inc. All Rights Reserved.

OSSのメリット

Jeffrey Hammond - August ‘10

オープンソースはソフトウェアの“Iron Triangle”ともいうべきコスト、

スピード、品質を同時に達成できる比類なき機会を提供する

CostCost

FeaturesFeaturesScheduleSchedule

9 © 2014 Black Duck Software, Inc. All Rights Reserved.

オープンソースのサイズ

Since 2002

専任チームによる

OSS情報の収集

>6,000+ サイト

1,000,000 プロジェクト

=> 5,000,000+ バージョン

2,400+ ライセンス

55,000

セキュリティ脆弱性

メタデータ

毎日更新

Knowledge

Base

10 © 2014 Black Duck Software, Inc. All Rights Reserved.

オープンソースの課題

This roadmap is for information only and represents Black Duck Software's current view of its product development cycle. However,

these plans may be refined, updated, or revised from time to time, based on customer input and market conditions. None of the

information in this roadmap should be interpreted as a commitment on the part of Black Duck Software.

11 © 2014 Black Duck Software, Inc. All Rights Reserved.

社内コードの実態

12 © 2014 Black Duck Software, Inc. All Rights Reserved.

コンポーネント＆バージョン管理

OSS A

V 1

3rd

Party

LegacyCode

OSS B

V 2

OSS A

V 1

3rd

Party

LegacyCode

デバイス

メーカー

お客様

開発コードの統合オフショア・アウト

ソース

あなたの会社

(プロプラコード）

開発コードの統合内製ソフト

OSS B

V 1

OSS C

V 1OSS C

V 2

OSS A : 検証済検証済検証済検証済

OSS B:V 1 -> BSD -> 〇〇〇〇

V 2 -> GPL -> ×

OSS C: V 1 -> 検証済検証済検証済検証済

V 2 -> 脆弱性有り！

13 © 2014 Black Duck Software, Inc. All Rights Reserved.

脆弱性問題 (OpenSSL Heartbleeds, Apache Struts)

OpenSSL

Apache Struts

www.blackducksoftware.com/heartbleed

14 © 2014 Black Duck Software, Inc. All Rights Reserved.

最適なバージョン管理と脆弱性対策

This roadmap is for information only and represents Black Duck Software's current view of its product development cycle. However,

these plans may be refined, updated, or revised from time to time, based on customer input and market conditions. None of the

information in this roadmap should be interpreted as a commitment on the part of Black Duck Software.

15 © 2014 Black Duck Software, Inc. All Rights Reserved.

OSS-A

OSS-B

OSS-C

OSS-D

OSS-E

OSS-A

OSS-D

OSS-X

OSS-Y

OSS-Z

コードスキャン⇒OSS判定

アプリケーションA アプリケーションBカタログ化

コンポーネント名 バージョン ライセンス 社内承認 利⽤アプリケーション 脆弱性OSS-A 2.2 MIT NG A, B CVE-xxxx-xxxxOSS-B - BSD OK AOSS-C 1.1 Apache 2.0 OK AOSS-D 0.96 GPL 3.0 NG A, B CVE-xxxx-xxxxOSS-E - OK AOSS-X 4.0 OK BOSS-Y - OK B・・・設計時にカタログ内を検索設計時にカタログ内を検索バージョンを確認しながらコンポーネントを再利⽤

Validation

BLACK DUCK ソリューション (バージョン管理)

16 © 2014 Black Duck Software, Inc. All Rights Reserved.

自社の製品に含ま自社の製品に含まれるOSSに脆弱性があるのかを瞬時に確認可能

BLACK DUCK ソリューション (脆弱性トレース)

17 © 2014 Black Duck Software, Inc. All Rights Reserved.

自社の製品を構成自社の製品を構成するOSSのバージョン、脆弱性を

⼀元管理

この例では、この例では、bashの脆弱性が自社の特定の製品に出たことが分かる

製品リリース後もタイムリーな脆弱性アラートが

製品担当者別に自動通知

BLACK DUCK ソリューション (脆弱性トレース)

18 © 2014 Black Duck Software, Inc. All Rights Reserved.

無償サービス

19 © 2014 Black Duck Software, Inc. All Rights Reserved.

無償無償無償無償サービスサービスサービスサービス（（（（１１１１）：）：）：）：OPEN SOURCE RISK PROFILE SERVICE

利用中利用中利用中利用中ののののOSSOSSOSSOSSのリストからのリストからのリストからのリストから::::

• セキュリティ脆弱性

• 重複、古過ぎるバージョン

• 非活発なOSSプロジェクト=>メンテ

ナンスに不安の残る等々）

• ライセンス競合

20 © 2014 Black Duck Software, Inc. All Rights Reserved.20

無償無償無償無償サービスサービスサービスサービス（（（（２２２２））））：OPEN SOURCE MANAGEMENT ASSESSMENT

アンケート形式 =>

<= OSSガバナンスレポート

21 © 2014 Black Duck Software, Inc. All Rights Reserved.

OPEN HUBのご紹介

This roadmap is for information only and represents Black Duck Software's current view of its product development cycle. However,

these plans may be refined, updated, or revised from time to time, based on customer input and market conditions. None of the

information in this roadmap should be interpreted as a commitment on the part of Black Duck Software.

22 © 2014 Black Duck Software, Inc. All Rights Reserved.

OPEN HUB PROJECT SUMMARY

23 © 2014 Black Duck Software, Inc. All Rights Reserved.

OPEN HUB PROJECT SUMMARY – LANGUAGES USED

24 © 2014 Black Duck Software, Inc. All Rights Reserved.

OPEN HUB PROJECT SUMMARY – COMMUNITY ACTIVITY

25 © 2014 Black Duck Software, Inc. All Rights Reserved.

LEARNING MORE ABOUT THE PEOPLE

26 © 2014 Black Duck Software, Inc. All Rights Reserved.

WHO ARE THE NEWEST CONTRIBUTORS?

OSS LOGISTICS™

The Most Powerful Force in Business Today