ニュース

テクマトリックス、OSSライセンス&セキュリティ管理ツール「FOSSID」の販売を開始

 テクマトリックス株式会社は27日、スウェーデンのFOSSIDが開発したオープンソースソフトウェア(OSS)ライセンス&セキュリティ管理ツール「FOSSID」の販売を開始した。

 FOSSIDは、さまざまなプログラミング言語のファイルに対し、独自のコード検索アルゴリズムで高速にスキャンを行い、コードの派生元であるオープンソースを特定する。また、NIST(アメリカ国立標準技術研究所)で公開されるCVE情報に基づくOSSの脆弱性情報も表示し、早期にOSSのセキュリティ対策が行える。

 さらに、部分的にコピー&ペーストしたOSSの情報や一部改編したOSSが確認できるコードスニペット検出にも対応し、より正確で広範囲な情報を可視化する。FOSSIDでソースコードをスキャンし、OSSの有無を確認し、そのライセンスポリシーやセキュリティ脆弱性を把握することで、OSSのライセンスに関して早期にリスク対応を行うことが可能になる。

 FOSSIDのナレッジベースには、3700万件以上のオープンソースプロジェクト、70億以上のソースファイルが格納されており、この種のナレッジベースとして最大規模であるとともに、迅速なスキャンを可能にする革新的な検索アルゴリズムを採用している。

 コンポーネント全体からコードスニペットまで、コード内にあるあらゆるフリーおよびオープンソースソフトウェアのコードの派生元であるオープンソースを特定。また、オープンソースプロジェクトはフォークされ再利用されるため、ユーザーにとってノイズとなる二次的な一致が大量に検出されるが、FOSSIDではノイズを排除し、ユーザーが本当の起点を識別できるスキャン結果レポートを提供する。

 FOSSIDは、レギュラー(SaaSサービス)とオフライン(オンプレミス)の2つのデプロイメントが用意されている。レギュラーデプロイメントは、クラウド上の常に最新の状態に保たれている FOSSIDナレッジベースと照合する。FOSSIDナレッジベースへの照会にはソースコードのデジタル署名のみが使用されるため、コードやファイルがサーバーにアップロードまたは送信されることはない。

 オフラインデプロイメントは、ユーザーのローカルネットワーク内にFOSSIDナレッジベースを設置し、外部ネットワークとのトラフィックを伴わない状態でスキャンを実行する。オフラインデプロイメントのFOSSIDナレッジベースは、ミラーサーバーを介して定期的にアップデートを取得するため、常に新しいナレッジ情報を保持できる。