ページの本文へ

Hitachi

株式会社 日立ソリューションズ

日立ソリューションズ『OSS管理ツール FOSSA』のシステム、サービス概要・価格や、解決できる課題についてご紹介します。

OSS管理ツールFOSSA

OSS管理ツール「FOSSA」は、米国のFOSSA, Inc.(以下、FOSSA社)のプロダクトで、OSSのライセンスコンプライアンスおよびセキュリティ脆弱性のリスクを包括的に管理するためのコンポジション解析(SCA)ツールです。開発環境と統合した効果的なポリシー機能とレポーティングで、企業のOSS利活用をサポートします。

OSS管理ツール FOSSA

このようなお悩みはありませんか?

  • 課題
  • 解決
  • OSSの利用可否を容易に判断するために、OSSライセンスに関する組織の利用ポリシーを作成したい。

    法律の専門家が監修した頒布形態ごとのポリシーテンプレートが用意されているため、これを用いてOSSを安心・安全に利用することができます。

  • OSSのチェックや問題管理に手間がかかっているため、効率化したい。

    すべてのOSSの依存関係、ライセンス、脆弱性を自動で検出したうえで、洗練されたUIにより問題の追跡と解決を容易にします。

  • 利用しているOSSのリストとライセンス・著作権通知のファイルをユーザー提供用に作成しているが、多大な工数が掛かっている。

    カスタマイズ性に優れたレポート機能により、実用に即したOSSレポートの自動生成が可能です。

概要

FOSSAとは

先進的なソフトウェア開発チームのためのモダンなOSSマネジメントプラットフォーム

全世界7,000以上のチームが採用
アジャイル・DevOpsに最適化された設計
開発者フレンドリーなOSSリスク管理

FOSSAはデジタル企業のための充実したOSSコンプライアンス・セキュリティ管理機能を提供

Compliance

  • 高品質なポリシー機能で安心・安全なOSS利用を促進
  • 強力なスキャンですべてのライセンスと責務を把握
  • 柔軟なレポート機能で容易にOSS利用義務を履行

Security

  • すべての依存OSSにおいて脆弱性を特定して可視化
  • 脆弱性情報を継続的に取得し、リスクをモニタリング
  • 必要な解決方法の提示によって脆弱性対応者を支援

特長

【ポリシー機能】  オープンソースポリシーの作成と施行

使いやすいUIと、柔軟でカスタマイズ可能なポリシー機能により、OSSコンプライアンス業務を自動化します。標準化されたポリシーテンプレートは第一線で活躍する法律の専門家とともに作成されており、多くの顧客がデフォルトのポリシーとして利用しています。プロジェクト特性に応じたポリシーを用意することで、組織内の多様なプロジェクトをFOSSAで一元的に管理することが可能になります。

オープンソースポリシーの作成と施行

【開発環境と統合】 モダンな開発ワークフローとの統合

CI/CDパイプラインへのシームレスな統合(Jenkins、CircleCI、Travis、など)による継続的な検出、クイックインポートで迅速な結果の取得(Github、Bitbucket、Gitlab、など)が可能です。またオープンソースで開発されるクライアントスキャナはさまざまな環境に対応しています。
FOSSAはクラウドサービスのため容易に導入可能です(オンプレミス版も提供可能)。

モダンな開発ワークフローとの統合

【OSSの可視化】 オープンソースの利用状況を可視化

開発ライフサイクル全体でOSSの依存関係を識別します。プロダクトで利用される直接的および間接的なOSS依存関係の完全なリストを取得してインベントリを生成します。ライセンスはOSSの各ファイルをコードレベルでチェックし、ポリシー違反がある場合はアラートを通知します。また洗練されたUIによってすべてのコンポーネント、ライセンス、依存関係のパスを容易に追跡可能です。

オープンソースの利用状況を可視化

【課題の対応】 コンプライアンスおよびセキュリティに関する問題の特定と対応

ライセンスと脆弱性の問題に関して、対応の根拠となるさまざまな情報を提供します。また多くの問題は自動承認により作業を効率化できます。ライセンス情報にはFOSSA社が提供するTLDRLegal(※)の情報が含まれ、ライセンス責務が明らかになります。プロジェクト管理ツールやコミュニケーションツールとの統合により課題発生時のアラート、および迅速な修正依頼も可能です(Jira、Slack、など)。

※TLDRLegal:主要ライセンスの要約を掲載するサイト

コンプライアンスおよびセキュリティに関する問題の特定と対応

【レポート生成】 実用的なレポートによる責務の履行

レポート機能はリアルタイムな構成表およびライセンス・著作権通知を生成し、フォーマットおよびメタデータはカスタマイズ可能です。実用レベルのレポートのため自身の公式サイトにそのまま掲載することが可能です(※)。監査に対応した無制限のレポート作成が可能で、M&A、IPOのためのDue Diligenceレポートを生成することもできます。

※参考:FOSSAを利用したライセンス・著作権通知の掲載例
Docker:https://www.docker.com/legal/components-licenses
Wolters Kluwer:https://firecracker.lww.com/open-source-attribution.html

実用的なレポートによる責務の履行

アーキテクチャ

FOSSAはSaaS型のクラウドサービスです。 ※オンプレミス版も提供可能

アーキテクチャ

FOSSAでOSSを管理する際の典型的な流れは以下のとおりです。

なぜFOSSAなのか

OSSコミュニティのリーダーやプロフェッショナルと連携して機能を実装

FOSSA社はThe Linux Foundationの主要コミュニティのリーダーや、Uber、Verizon Media、Ford、TDAmeritradeといった企業のオープンソースプログラムオフィスの専門家と協力して、オープンソースのコンプライアンスプログラムを開発するうえでのベストプラクティスを収集・共有しています。またFOSSA社にはOSSに精通した弁護士がOSS Policy Advisorとして参画しており、ポリシーテンプレートなどの機能開発が行われています。このようにFOSSAでは開発者の課題や現場のニーズが取り込まれ、実用に即した設計思想で開発が行われています。

多くのエンジニアリングチームによる採用実績

全世界のさまざまな業種・業界における、7,000以上のソフトウェア開発チームがFOSSAを採用しています。OSSコミュニティ界隈でも広く認知されており、多くのGitHubプロジェクトで利用されています。

価格

個別見積となります。

ライセンス 年間サブスクリプション 個別見積(ユーザー数による)

無償のトライアル版もご用意しています。詳細はお問い合わせください。

最終更新日:2020年10月6日