FOSSA
OSS管理&SBOM管理ツール
OSS管理&SBOM管理ツール「FOSSA」は、米国のFOSSA, Inc.(以下、FOSSA社)のプロダクトで、ライセンスコンプライアンスおよびセキュリティ脆弱性のリスクを包括的に管理するためのコンポジション解析(SCA)ツールです。開発環境と統合した効果的なポリシー機能とレポーティングで、企業のOSS利活用・SBOM管理をサポートします。
- ※OSS:Open Source Softwareの略
- ※SCA:Software Composition Analysisの略
- ※SBOM:Software Bill of Materialsの略
このようなお悩みはありませんか?
- 課題
- 解決
-
課題
- OSSの利用可否を容易に判断するために、OSSライセンスに関する組織の利用ポリシーを作成したい。
-
解決
法律の専門家が監修した頒布形態ごとのポリシーテンプレートが用意されているため、これを用いてOSSを安心・安全に利用することができます。
-
課題
- SBOMの作成や問題管理に手間がかかっているため効率化したい。
-
解決
すべての依存関係、ライセンス、脆弱性を自動で検出したうえで、洗練されたUIにより問題の追跡と解決を容易にします。
-
課題
- 利用しているOSSのリストとライセンス・著作権通知のファイルをユーザー提供用に作成しているが、多大な工数がかかっている。
-
解決
カスタマイズ性に優れたレポート機能により、実用に即したOSSレポートの自動生成が可能です。
商品概要
FOSSA とは
「FOSSA」は開発者フレンドリーなOSS管理&SBOM管理のプラットフォームです。広範なライセンスおよび脆弱性の情報を有しており、既存のCI/CDパイプラインと統合することで、開発の早い段階でSBOM作成とリスクの可視化が可能です。
アジャイル・DevOps時代に最適な管理ツールとして、多くのユーザーに利用されています。
全世界で多数の利用実績
全世界のさまざまな業種・業界における、16,000以上のソフトウェア開発組織がFOSSAを利用しています。デジタル企業のためのモダンなマネジメントプラットフォームとして、先進的な開発チームで採用されています。
FOSSAの3つのポイント
-
AUTOMATION
自動化
開発環境と統合された開発者フレンドリーな仕組みによって、アジャイル・DevOpsプロセスにおけるOSS管理&SBOM管理の自動化を実現
-
COMPLIANCE
コンプライアンス
高品質なポリシー機能と、強力なスキャン、柔軟なレポートにより、OSSライセンスのコンプライアンス遵守を促進
-
SECURITY
セキュリティ
OSSの脆弱性検出と継続的なリスクのモニタリングに加え、必要な解決方法の提示により脆弱性対応者を支援
FOSSAだからできること
-
solution 01
リスク対策のシフトレフト
既存のCI/CD環境の一部としてDevOpsプロセスに組み込むことで、早期かつ頻繁に問題の修復を適用してリスクを最小化
-
solution 02
継続的なコンプライアンスによるイノベーション促進
開発者の継続的かつ頻繁なコードのリリースに合わせたコンプライアンスプロセスの実現によって、イノベーションを加速
-
solution 03
包括的なオープンソースの
Due DiligenceIPOやM&Aを阻害するコンプライアンスおよびセキュリティに関するリスクも、自動的な監査機能により包括的に把握
FOSSAの特長
オープンソースの世界でも利用される決定版ツール
FOSSAはOSSコミュニティ界隈でも広く認知されており、多くのGitHubプロジェクトで利用されています。FOSSAが提供する「license scan」のバッジは、ライセンスチェックのシンボルとして機能しています。
"もし私が仕事でFOSSAのバッジを見たら、
それはライセンスコンプライアンス遵守の面で大きなプラスになるでしょう"
Kris Borchers, Executive Director (JS Foundation)
OSSライセンスの世界との深い関わり
FOSSA社はTLDRLegalの運営元でもあり、OSSライセンスの世界には多大な貢献をしています。TLDRLegalはOSSライセンスを定義するOSI(Open Source Initiative)のプロジェクトで、ライセンスの要約をまとめるWebコミュニティサイトです。本サイトの内容はOSSライセンスに精通した著名な弁護士がレビューをしていますが、FOSSAのプロダクト開発にも同弁護士がOSS Policy Advisorとして参画しており、ポリシーテンプレートなどの機能開発が行われています。
OSSコミュニティのリーダーやプロフェッショナルと連携して機能を実装
FOSSA社はThe Linux Foundationの主要コミュニティのリーダーや、Uber、Verizon、Ford、TDAmeritradeといった企業のオープンソースプログラムオフィスの専門家と協力してベストプラクティスを収集・共有しています。これによって、FOSSAには開発者の課題や現場のニーズが取り込まれているので、実用に即した設計になっています。
ライセンスリスク・SBOM管理で業界最高評価
市場調査企業であるForrester Research社が発行するレポート*では、ソフトウェア構成分析市場のベンダーを複数の基準で評価しています。FOSSAは本評価における「ライセンスリスク管理」「ソフトウェア構成表(SBOM:Software Bill of Materials)」の基準において、最高得点(5.0点)を獲得しています。
- *The Forrester Wave: Software Composition Analysis, Q3 2021
FOSSAの機能
オープンソースポリシーの作成と施行
使いやすいUIと、柔軟でカスタマイズ可能なポリシー機能により、OSSコンプライアンス業務を自動化します。標準化されたポリシーテンプレートは第一線で活躍する法律の専門家とともに作成されており、多くの顧客がデフォルトのポリシーとして利用しています。プロジェクト特性に応じたポリシーを用意することで、組織内の多様なプロジェクトをFOSSAで一元的に管理することが可能になります。
モダンな開発ワークフローとの統合
CI/CDパイプラインへのシームレスな統合(Jenkins、CircleCI、Travis、など)による継続的な検出、クイックインポートで迅速な結果の取得(Github、Bitbucket、Gitlab、など)が可能です。またオープンソースで開発されるクライアントスキャナはさまざまな環境に対応しています。
FOSSAはクラウドサービスのため容易に導入可能です(オンプレミス版も提供可能)。
SBOM作成によりオープンソースの利用状況を可視化
開発ライフサイクル全体でライブラリの依存関係を識別します。プロダクトで利用される直接的および間接的な依存関係の完全なリストを取得してインベントリを生成します。ライセンスはOSSの各ファイルをコードレベルでチェックし、ポリシー違反がある場合はアラートを通知します。また洗練されたUIによってすべてのコンポーネント、ライセンス、依存関係のパスを容易に追跡可能です。
コンプライアンスおよびセキュリティに関する問題の特定と対応
ライセンスと脆弱性の問題に関して、対応の根拠となるさまざまな情報を提供します。また多くの問題は自動承認により作業を効率化できます。プロジェクト管理ツールやコミュニケーションツールとの統合により課題発生時のアラート、および迅速な修正依頼も可能です(Jira、Slack、など)。
実用的なレポートによる責務の履行
レポート機能はリアルタイムな構成表およびライセンス・著作権通知を生成し、フォーマットおよびメタデータはカスタマイズ可能です。実用レベルのレポートのため自身の公式サイトにそのまま掲載することが可能です(※)。監査に対応した無制限のレポート作成が可能で、M&A、IPOのためのDue Diligenceレポートを生成することもできます。
- ※参考:FOSSAを利用したライセンス・著作権通知の掲載例
Docker:https://www.docker.com/legal/components-licenses
Wolters Kluwer:https://firecracker.lww.com/open-source-attribution.html
FOSSAの仕組みと使い方
アーキテクチャ
FOSSAはSaaS型のクラウドサービスです。 ※オンプレミス版も提供可能
FOSSAでOSSとSBOMを管理する際の典型的な流れは以下のとおりです。
-
1. クイックインポート、またはCI/CD連携により、対象プロダクトのソースコードを解析します。
-
2. サーバー側で解析が行われ、ライブラリ、ライセンス、脆弱性が検出されます。
-
3. アラートやレポートなどにより、OSSのライセンスおよび脆弱性の状況を確認します。
解析パターン
FOSSAは大きく3種類の解析パターンに対応しています。
クイックインポート
GitHubリポジトリなどから直接FOSSAにソースコードをインポートしたり、ローカル環境のアーカイブをFOSSAにアップロードしたりして、解析を実行することができます。
スキャナ連携(CI/CD連携)
既存のCI/CD環境にFOSSAのスキャナを統合して解析を実行することができます。スキャナはオープンソースで開発されており、CIツールと容易に統合することができます。
SBOMインポート
すでに他ツールなどでSBOMファイルを作成している場合、そのファイルをFOSSAにアップロードすることで脆弱性検出などが実施できます。
事例
FOSSAの利用事例を以下に示します。
-
開発プロセス自体に継続的なコンプライアンス遵守の仕組みを実装。従来のツールやプロセスでは不可能だった、エンジニアリングチームと法務チーム間の新しいコラボレーションワークフローを実現。
-
モバイルアプリにおけるOSSライセンスのコンプライアンスを大規模に展開するために、自社のCI/CDプラットフォームにFOSSAを統合。コスト削減、リスク軽減、イノベーションの加速を実現。
-
24のプロジェクトにおける2000以上のOSSを継続的に追跡、スキャン、分析。何百時間もかかると思われる依存関係の調査もFOSSAを使うことで自動化に成功。
-
多数のマイクロサービス、リポジトリ、言語、OSSパッケージからなる複雑なSaaSプロダクトのOSS管理において、継続的な見直し、および正確な追跡と報告を行う仕組みをFOSSAで構築。
-
工数がかかっていた法務部門によるライセンスチェック作業をFOSSAにより自動化。脆弱性チェック機能も利用し、製品の安全性も向上。
FOSSAの価格とライセンス体系
個別見積となります。
詳細は「FOSSAの価格とライセンス体系」を参照ください。
「無償版」と「無償トライアル版」について
FOSSAには「無償版」と「無償トライアル版」が存在します。
無償版には以下のような制限が存在します(有償版にはこれらの制限がありません)。
-
解析可能なプロジェクト数が5つまで
-
依存関係の解析は5階層まで
-
ポリシーのカスタマイズ不可
-
レポート出力の対象は直接依存パッケージのみ
など
特に2. の制限がある場合、解析結果が不完全になることから、商用目的での利用では有償版が推奨されます。
日立ソリューションズでは独自に30日間限定の無償トライアル版(全機能制限なし)を提供していますので、お気軽にお問い合わせください。
FAQ(よくある質問)
-
FOSSAの値段やライセンス形態を教えてください。
FOSSAは年間サブスクリプションライセンスで提供されます。詳細は以下を参照ください。
-
FOSSAには無料の評価版・体験版のライセンスはありますか?
あります。詳細は以下を参照ください。
-
スキャンする際にソースコードはFOSSAのデータセンターに送信されるのでしょうか?どういった情報が送信されますか?
FOSSAはパッケージマネージャーの情報をベースにOSSの検出を行います。そのため、どのOSSが使われているか?という情報のみ外部に送信されます。ソースファイルの中身が外部に公開されることはありません。
-
解析可能なソースコードのプログラミング言語・パッケージマネージャ―・バイナリのフォーマットなどを教えてください。
以下のとおりです。
Language / Tool Quick Import (app.fossa.com) Local Plugin (fossa-cli) Clojure (leiningen) - Supported Dart (pub) - Supported Elixir (mix) - Supported Erlang (rebar3) - Supported Fortran (fpm) - Supported Golang (glide) Supported Supported Golang (godeps) Supported Supported Golang (govendor) Supported Supported Golang (gopkg) Supported Supported Haskell (stack, cabal) - Supported iOS - ObjC, Swift (Carthage) Supported Supported iOS - ObjC, Swift (Cocoapods) Supported Supported iOS - Swift (SwiftPM) - Supported Java (maven) Supported Recommended Java (gradle) Supported Recommended Java (ant/ivy) Supported - JavaScript (bower) Supported - JavaScript (npm) Supported Recommended JavaScript (yarn) Supported Recommended Kotlin (gradle) - Supported .NET - C#, F# VB (NuGet & Paket) Supported Supported Perl (CPAN) Supported Supported PHP (composer) Supported Supported Python (requirements.txt) Supported Supported Python (Poetry) - Supported Python (Pipenv) - Supported Python (Conda) - Supported Ruby (gems) Supported Supported Rust (Cargo) Supported Supported Scala (sbt) Supported Supported Generic (Git Submodules) Supported N/A C, C++, Generic (Archives / Vendored) - Supported C, C++, Generic (Binaries) - Supported -
ほかの開発ツールと統合できますか?統合可能な外部ツールを教えてください。
代表的なものは以下のとおりです。
AWS CodeBuild / Bitbucket Server (Stash) / CircleCI / Concourse-CI / TravisCI / TeamCity / Jenkins / JFrog Artifactory / Atlassian Jira / GitHub / GitLab / Slack / npm Enterprise / Nexus
-
WEB APIによるインテグレーションは可能ですか?
可能です。
最終更新日:2023年9月25日