ニュース

GDEP、OSS管理ソリューション「WhiteSource」の国内販売を開始

  • 北原 静香

2017年9月1日 06:00

 GDEPソリューションズ(以下、GDEP)は8月29日、イスラエルWhiteSourceと代理店契約を締結し、オープンソース・セキュリティ&コンプライアンス管理ソリューション「WhiteSource」の国内販売を開始することを発表した。

 WhiteSourceは、プログラミング言語、ビルドツール、開発環境を問わず、ソフトウェアのビルドプロセスに統合することで、どのオープンソースソフトウェア(OSS)がソフトウェアのどの部分で使用されているかを可視化。OSSの情報データベースとマッチングして、脆弱性やライセンス違反などの問題を警告するSaaS型ソリューションだ。国内での販売は今回が初となる。

 GDEPは、2010年にGPU関連企業で結成されたG-DEP(日本GPUコンピューティング パートナーシップ)から設立された企業で、日本で唯一NVIDIAのElite Solution Provider認定を受け、GPUコンピューティング導入、コンサルティングなどを展開している。

 また、海外ベンチャーが開発するクラウドインフラ関連のソフトウェアを発掘し、日本市場向けに改良して販売するといった事業も展開しているという。WhiteSourceもそうしたプロダクトのひとつで、GDEP 代表取締役社長の長崎敦司氏は、GPUの主要な用途であるAIや機械学習に関連した事業を展開している顧客の多くが、OSSの管理に課題を抱えていることを知り、OSS管理ソリューションであるWhiteSourceを国内で販売するに至ったと説明した。

GDEP 代表取締役社長の長崎敦司氏

 ソフトウェア開発の生産性を向上するため、多くの企業が積極的にOSSを利用しており、今日ソフトウェア製品に含まれる60%~80%のコードは、OSSのコンポーネントが占めているという調査結果もある。

 その一方で、OSSのライセンス違反がないか、使用しているコンポーネントに脆弱性はないのかといった管理が課題となっている。そもそもOSSが随所に使われているため、どこで利用されているか完全に把握できていない企業も多いという。

 OSSのライセンスの種類は70種類以上あるが、例えばGPL(GNU General Public License)のコンポーネントを利用した場合、そのコンポーネントが含まれるソフトウェアもGPLで配布しなければならない。

 しかし、GPLコンポーネントを利用しているにも関わらず、著作権を明示していなかったり、ソースコードを非公開にしているというケースは後を絶たず、係争に持ち込まれたケースも少なくない。

 さらに、OpenSSLで発生した「Heartbleed」などOSSに脆弱性が発見された場合、速やかに対処する必要があるが、自分たちのソフトウェアの中に脆弱性のあるコンポーネントが含まれているのか、ということを把握するまでに時間がかかってしまうことも多い。この問題を解決するのが、WhiteSourceのようなOSS管理ソリューションだ。

OSS活用時の課題には、使用しているコンポーネントの把握、脆弱性検出、法令・規則の順守、バグやアップデートされていないコンポーネントの回避がある

 WhiteSourceは、300万のコンポーネントと7000万のソースファイルから構成されるデータベースを利用しており、Dockerコンテナを含む22のプログラミング言語とプラットフォームをサポートしている。脆弱性情報源として12の第三者のOSSデータベースとも連携しており、23万以上の脆弱性検出性能を持っている。リリース後に判明した脆弱性やバグも、自動的にトラッキングして積極的にアラートを通知し、70%以上の脆弱性に対して問題の解決オプションを提示する。

 また、AIを活用した独自アルゴリズムによってマッチングの精度を高めていることが特徴となっている。

 WhiteSourceは基本的にSaaSとして提供されるが、クラウド上にあるWhiteSourceサーバーにソースコードが転送されることはない。開発環境に配置したエージェントがローカルまたはリポジトリ上のソースコード内、バイナリコード内のファイルに対する独自の識別子(UID)を計算し、このUIDがWhiteSourceサーバーに転送される。WhiteSourceサーバーはUIDをWhiteSourceのOSSマスターデータベースとマッチングし、OSSと認識されたものに対して、セキュリティ、ライセンス、品質といった関連するすべてのデータをユーザーに提供する。また、エージェントとサーバー間の通信はTLSを利用することで、より安全性を高めている。

WhiteSourceによるOSS管理のしくみ
スキャン結果の全体情報(ダッシュボード)
利用しているOSSリストと詳細(インベントリーレポート)
アラートリスト(リスク、問題点のある使用中のOSS)
ライセンスリスト(利用しているOSSライセンス種別)
リスクレポート

 価格は年間サブスクリプションで、ユーザー数が10人でプログラミング言語数が3個、アプリケーション数が10個の最小構成で99万8000円(税別)から。オプションとして、オンプレミスでの利用や、APIによるユーザー環境への組み込みも可能となっている。

 GDEPは代理店を通じた間接販売を中心に行うため、OPENスクエア、アシストなどを通じての販売となる。テクニカルサポートについては、代理店もしくはGDEPがダイレクトに行うという。また、製品トレーニング、開発コンサルティング、ユーザーの開発ポータルへの組み込みサービス等も展開していく予定となっている。

 なおGDEPでは、国内のOSS管理ソリューション市場が2020年までに40%成長すると予測しており、WhiteSourceの2018年度の売上目標を3億円に設定している。