Upload
others
View
2
Download
0
Embed Size (px)
Citation preview
© 2014 Black Duck Software, Inc. All Rights Reserved.OSSOSSOSSOSSセキュリティセキュリティセキュリティセキュリティ脆弱性脆弱性脆弱性脆弱性とバージョンとバージョンとバージョンとバージョン氾濫氾濫氾濫氾濫をををを防防防防ぐにはぐにはぐにはぐには????
November 22, 2014 金 承顕
2 © 2014 Black Duck Software, Inc. All Rights Reserved.
OUR VALUE
ブラック・ダックはオープンソースソフトウェアを効率的に管理
できる環境を提供することにより、お客様が基本的な競争分
野において多大なメリットを享受できることを使命とします。
Speed Cost Security Innovation
3 © 2014 Black Duck Software, Inc. All Rights Reserved.
24242424
ヶ国
185+185+185+185+
従業員
1,4001,4001,4001,400
顧客
BLACK DUCK 会社情報
Award for InnovationFour Years in the “Software
500” Largest Software
Companies
Six Years in a row
for Innovation
Gartner Group
“Cool Vendor”
“Top Place to Work,”
The Boston Globe
2014
Fortune誌誌誌誌がががが選選選選ぶぶぶぶTOP100社社社社のののの内内内内、、、、27社社社社がががが採用採用採用採用
ソフトウェアソフトウェアソフトウェアソフトウェア企業企業企業企業 上位上位上位上位10社中社中社中社中 7社社社社がががが採用採用採用採用
モバイルモバイルモバイルモバイル端末端末端末端末ベンダーベンダーベンダーベンダー 上位上位上位上位8社中社中社中社中 6社社社社がががが採用採用採用採用
投資銀行上位投資銀行上位投資銀行上位投資銀行上位10社中社中社中社中 6社社社社がががが採用採用採用採用
4 © 2014 Black Duck Software, Inc. All Rights Reserved.
ソフトウェアソフトウェアソフトウェアソフトウェア エレクトロニクスエレクトロニクスエレクトロニクスエレクトロニクス
政府政府政府政府メディアメディアメディアメディア
金融/サービス金融/サービス金融/サービス金融/サービス
インフラストラクチャーインフラストラクチャーインフラストラクチャーインフラストラクチャー
顧客企業
5 © 2014 Black Duck Software, Inc. All Rights Reserved.
オープンソースの動向
This roadmap is for information only and represents Black Duck Software's current view of its product development cycle. However,
these plans may be refined, updated, or revised from time to time, based on customer input and market conditions. None of the
information in this roadmap should be interpreted as a commitment on the part of Black Duck Software.
6 © 2014 Black Duck Software, Inc. All Rights Reserved.Chttp://blogs.olliancegroup.com
オープンソースによる新興企業の台頭
7 © 2014 Black Duck Software, Inc. All Rights Reserved.
ENTERPRISE OSS STACK
Cloud / ManagementCloud / Management Open NebulaOpen Nebula Open StackOpen StackEucalyptusEucalyptus
VirtualizationVirtualization Xen LKVM
LanguagesLanguages Javascript PythonC/C++ Java PHP ScalaPerl Ruby
DataData MySQLMySQL NoSQLNoSQLPostgreSQLPostgreSQL WebWeb Apache HTTPD
App ServerApp Server JBOSS GeronimoTomcat
DirectoryDirectory Open XchangeOpen LDAP
HadoopHadoop
EmailEmail PostfixPostfixDovecotDovecot SendGridSendGridCourierCourier
SearchSearch LuceneLucene SolrSolrNutchNutch SphinxSphinx
LinuxLinux OpenSuSEFedoraCore UbuntuCentosKernel.orgSystem Platform
Application Platform
Applications ApplicationsApplications
Alfresco Software, Inc.Alfresco Software, Inc.
Magento, Inc.Magento, Inc.
BonitaSoft S.A.BonitaSoft S.A. Acquia, Inc.Acquia, Inc.
OpenERP S.A.OpenERP S.A. SugarCRM, Inc.SugarCRM, Inc.Japsersoft CorporationJapsersoft Corporation
Content Management
eCommerce
Process Management
Resource Planning
Content Management
Customer Relationship ManagementBusiness Intelligence
8 © 2014 Black Duck Software, Inc. All Rights Reserved.
OSSのメリット
Jeffrey Hammond - August ‘10
オープンソースはソフトウェアの“Iron Triangle”ともいうべきコスト、
スピード、品質を同時に達成できる比類なき機会を提供する
CostCost
FeaturesFeaturesScheduleSchedule
9 © 2014 Black Duck Software, Inc. All Rights Reserved.
オープンソースのサイズ
Since 2002
専任チームによる
OSS情報の収集
>6,000+ サイト
1,000,000 プロジェクト
=> 5,000,000+ バージョン
2,400+ ライセンス
55,000
セキュリティ脆弱性
メタデータ
毎日更新
Knowledge
Base
10 © 2014 Black Duck Software, Inc. All Rights Reserved.
オープンソースの課題
This roadmap is for information only and represents Black Duck Software's current view of its product development cycle. However,
these plans may be refined, updated, or revised from time to time, based on customer input and market conditions. None of the
information in this roadmap should be interpreted as a commitment on the part of Black Duck Software.
11 © 2014 Black Duck Software, Inc. All Rights Reserved.
社内コードの実態
12 © 2014 Black Duck Software, Inc. All Rights Reserved.
コンポーネント&バージョン管理
OSS A
V 1
3rd
Party
LegacyCode
OSS B
V 2
OSS A
V 1
3rd
Party
LegacyCode
デバイス
メーカー
お客様
開発コードの統合オフショア・アウト
ソース
あなたの会社
(プロプラコード)
開発コードの統合内製ソフト
OSS B
V 1
OSS C
V 1OSS C
V 2
OSS A : 検証済検証済検証済検証済
OSS B:V 1 -> BSD -> 〇〇〇〇
V 2 -> GPL -> ×
OSS C: V 1 -> 検証済検証済検証済検証済
V 2 -> 脆弱性有り!
13 © 2014 Black Duck Software, Inc. All Rights Reserved.
脆弱性問題 (OpenSSL Heartbleeds, Apache Struts)
OpenSSL
Apache Struts
www.blackducksoftware.com/heartbleed
14 © 2014 Black Duck Software, Inc. All Rights Reserved.
最適なバージョン管理と脆弱性対策
This roadmap is for information only and represents Black Duck Software's current view of its product development cycle. However,
these plans may be refined, updated, or revised from time to time, based on customer input and market conditions. None of the
information in this roadmap should be interpreted as a commitment on the part of Black Duck Software.
15 © 2014 Black Duck Software, Inc. All Rights Reserved.
OSS-A
OSS-B
OSS-C
OSS-D
OSS-E
OSS-A
OSS-D
OSS-X
OSS-Y
OSS-Z
コードスキャン⇒OSS判定
アプリケーションA アプリケーションBカタログ化
コンポーネント名 バージョン ライセンス 社内承認 利⽤アプリケーション 脆弱性OSS-A 2.2 MIT NG A, B CVE-xxxx-xxxxOSS-B - BSD OK AOSS-C 1.1 Apache 2.0 OK AOSS-D 0.96 GPL 3.0 NG A, B CVE-xxxx-xxxxOSS-E - OK AOSS-X 4.0 OK BOSS-Y - OK B・・・設計時にカタログ内を検索設計時にカタログ内を検索バージョンを確認しながらコンポーネントを再利⽤
Validation
BLACK DUCK ソリューション (バージョン管理)
16 © 2014 Black Duck Software, Inc. All Rights Reserved.
自社の製品に含ま自社の製品に含まれるOSSに脆弱性があるのかを瞬時に確認可能
BLACK DUCK ソリューション (脆弱性トレース)
17 © 2014 Black Duck Software, Inc. All Rights Reserved.
自社の製品を構成自社の製品を構成するOSSのバージョン、脆弱性を
⼀元管理
この例では、この例では、bashの脆弱性が自社の特定の製品に出たことが分かる
製品リリース後もタイムリーな脆弱性アラートが
製品担当者別に自動通知
BLACK DUCK ソリューション (脆弱性トレース)
18 © 2014 Black Duck Software, Inc. All Rights Reserved.
無償サービス
19 © 2014 Black Duck Software, Inc. All Rights Reserved.
無償無償無償無償サービスサービスサービスサービス((((1111):):):):OPEN SOURCE RISK PROFILE SERVICE
利用中利用中利用中利用中ののののOSSOSSOSSOSSのリストからのリストからのリストからのリストから::::
• セキュリティ脆弱性
• 重複、古過ぎるバージョン
• 非活発なOSSプロジェクト=>メンテ
ナンスに不安の残る等々)
• ライセンス競合
20 © 2014 Black Duck Software, Inc. All Rights Reserved.20
無償無償無償無償サービスサービスサービスサービス((((2222)))):OPEN SOURCE MANAGEMENT ASSESSMENT
アンケート形式 =>
<= OSSガバナンスレポート
21 © 2014 Black Duck Software, Inc. All Rights Reserved.
OPEN HUBのご紹介
This roadmap is for information only and represents Black Duck Software's current view of its product development cycle. However,
these plans may be refined, updated, or revised from time to time, based on customer input and market conditions. None of the
information in this roadmap should be interpreted as a commitment on the part of Black Duck Software.
22 © 2014 Black Duck Software, Inc. All Rights Reserved.
OPEN HUB PROJECT SUMMARY
23 © 2014 Black Duck Software, Inc. All Rights Reserved.
OPEN HUB PROJECT SUMMARY – LANGUAGES USED
24 © 2014 Black Duck Software, Inc. All Rights Reserved.
OPEN HUB PROJECT SUMMARY – COMMUNITY ACTIVITY
25 © 2014 Black Duck Software, Inc. All Rights Reserved.
LEARNING MORE ABOUT THE PEOPLE
26 © 2014 Black Duck Software, Inc. All Rights Reserved.
WHO ARE THE NEWEST CONTRIBUTORS?
OSS LOGISTICS™
The Most Powerful Force in Business Today