ページの本文へ

Hitachi

株式会社 日立ソリューションズ

日立ソリューションズ『WhiteSource』システム、サービス概要、解決できる課題についてご紹介します。

OSS管理ツール WhiteSource

WhiteSourceとは、組織におけるOSS※1の活用状況とリスクのマネジメントを効率化してDevSecOpsを支援するOSS管理ツールです。クラウドサービスとして提供されるため導入が容易で、包括的なコンポジション解析(SCA※2)機能でセキュリティ脆弱性やライセンスコンプライアンス違反に関するリスクを洗い出し、OSSの安心・安全な活用を支援します。

日立ソリューションズは多数の導入実績をもつWhiteSourceの国内販売代理店です。

WhiteSource
  • ※1 OSS:Open Source Software(オープンソースソフトウェア)
  • ※2 SCA:Software Composition Analysis(ソフトウェア構成分析)

製品デモを依頼する 無償トライアルを依頼する

「どのOSS管理ツールを選べば良いの?」そんなお悩みを解決するOSS管理のトータルソリューションはこちら

WhiteSourceの導入で日立ソリューションズが選ばれる理由

このようなお悩みはありませんか?

  • 課題
  • 解決
  • 自社の製品・サービスにOSSを利用しているが、セキュリティ脆弱性やライセンスコンプライアンス違反のリスク管理が必要と感じている。

    WhiteSourceを使えば、利用しているOSSの脆弱性リスクの可視化とライセンスチェックを簡単に行うことができます。

  • ツール導入などの手間をかけずにすぐにOSSを解析したい。解析ツールの運用コストも抑えたい。

    WhiteSourceはクラウドサービスのため、お申し込みいただいてすぐお使いいただくことができ、サーバーの運用コストもかかりません。

  • 取引先に自社製品のOSSチェックの結果を報告しなければならない。

    WhiteSourceのチェック結果から、グラフィカルな詳細レポートを作成できます。

商品概要

WhiteSource とは

WhiteSource(読み方:ホワイトソース)とは、グローバルに高い評価を得ているOSS管理ツールです。

導入が容易なクラウドサービスで、OSSに関するセキュリティ脆弱性、ライセンス、品質(バグ・アップデートなど)の情報を管理することができ、開発組織のDevSecOpsを実現します。

市場からの高い評価

WhiteSourceはOSS脆弱性マネジメントのための先進ツールです。製造、金融、サービス、ゲーム、組み込み機器、その他数多くの業界・業種で利用されており、業界リーダーとして市場から高い評価を獲得しています。

米国IT大手など全世界で多数の利用実績

MicrosoftやIBMなどの業界リーダーや、Fortune 100企業の23%を含む、全世界800以上のユーザーがWhiteSourceを利用しています。

市場調査企業がリーダーとして評価

市場調査企業であるForrester Research社が発行するレポート(*)では、ソフトウェア構成分析市場におけるリーダーとして評価されています。
* The Forrester Wave: Software Composition Analysis, Q3 2021

WhiteSourceの特長

WhiteSourceにできることや、製品としての強み、導入のメリットについて説明します。

OSSとリスクの可視化

クラウドサービス・デスクトップアプリ・組込ソフトウェアなどで利用されているOSSのライブラリ・フレームワークなどを漏れなく検出します。OSS由来のセキュリティ脆弱性などを可視化することで、OSS利用におけるリスクを可視化することができます。

セキュリティ脆弱性

WhiteSourceは独自のDBである「WhiteSource Vulnerability Database」によって、さまざまなOSSの脆弱性情報を蓄積・管理しています。CVE※1として採番されていない脆弱性情報も含め膨大な情報を扱っており、本データに基づいてリスクの把握と対策が可能です。正確でタイムリーな脆弱性情報の受け取りも可能で、いつ公開されるか分からない突発的な脆弱性にも即座に対応することができます。

  • ※1 CVE:Common Vulnerabilities and Exposures(MITRE社※2が採番を行い、NIST※3が運営するNVD※4によって提供されている共通脆弱性識別子)
  • ※2 MITRE社:米国政府の支援を受けた非営利の研究団体の名称
  • ※3 NIST:National Institute of Standards and Technology(アメリカ国立標準技術研究所)
  • ※4 NVD:National Vulnerability Database(NISTが運営する脆弱性情報データベース)

ライセンスコンプライアンス

OSSとそのライセンス情報、著作権情報などを把握できます。GPL※1、LGPL※2、Apache Licenseなどの著名なライセンスから利用数の少ないライセンスまで、幅広くカバーしています。M&AやIPOの際に行われるデューデリジェンス(企業価値評価)での資産調査に活用することができ、製品・サービス開発におけるコンプライアンス遵守を効率化することができます。

  • ※1 GPL:GNU General Public License(GNU 一般公衆利用許諾書)
  • ※2 LGPL:GNU Lesser General Public License(GNU 劣等一般公衆利用許諾書)

インベントリー(SBOM:ソフトウェア構成表)

製品やサービスで利用されているOSSのリスト(インベントリ―)を作成することができます。SBOM※1(ソフトウェア構成表)を参照することで、各OSSコンポーネントのURLなど詳細情報も確認できます。OSSに依存関係がある場合には階層構造でリストを閲覧することもできます。

  • ※1 SBOM:Software Bill of Materials(ソフトウェア構成表・部品表)

各種アラート

深刻なバグに関する通知やバージョンに関する通知など、さまざまなアラートを受け取ることができます。これらの警告によって品質面におけるOSSの利用リスクを管理できるため、早期の問題把握によって手戻りを予防し、ソフトウェア開発の工数削減を図ることができます。

ポリシーの管理

各種アラートはポリシー機能によってカスタマイズすることができます。どのような脆弱性・ライセンスが検出されたらアラートをあげるか、といったルールを組織で設定することにより、OSSの管理レベルをチーム内で統一することができます。

修正方法の提供

WhiteSourceは脆弱性情報だけでなく、どのようにその脆弱性に対応すれば良いか検討するための情報もあわせて提供します。

バージョンアップやパッチに関する情報などを参照することができるため、エンジニアは迅速に脆弱性を理解して修正方法を検討することができます。

充実したレポート

WhiteSourceのレポート機能は大変充実しており、グラフィカルかつリッチなレポートとしてさまざまな情報を出力することができます。

レポート・ダッシュボードの例
Inventory / Source File Inventory / Due Diligence / Attribution / Compare Products / Compare Projects / Custom Attributes / Library Location / License Compatibility / Effective Licenses / In-House / Risk / Multiple Library Versions (Beta) / Vulnerabilities / Early Warnings / Container Vulnerabilities / Effective Usage Analysis Detailed Results / Alerts / Ignored Alerts / Alert Resolution Duration / Change Log History / Request History / Resolution Requests Status / Plugin Request History / Plugin Policy Violation History / GitHub Scan History / Members

さまざまな開発ツールと統合

DevOps基盤やCI/CDツールなど、さまざまなソフトウェア開発製品と統合することが可能です。
SDLC(システム開発ライフサイクル)のすべての段階において安全なOSS管理を実現することができ、アプリケーション開発におけるDevSecOpsを促進することができます。

さまざまな言語・プラットフォームの解析に対応

WhiteSourceの解析は200以上のプログラミング言語に対応しています。多種多様な製品・サービスを展開している組織においても、WhiteSourceを導入するだけで各プロジェクトのOSS管理を一元的に行うことができます。
またパッケージマネージャ、Linuxディストリビューション、コンテナなどに最適化されたOSSスキャンを行うことにより、自社で開発するさまざまなアプリケーションのOSS利用とそのリスクについて、より正確に、より効率的に把握することが可能になります。

WhiteSourceの仕組み

WhiteSourceはサーバー・クライアント型のWEBアプリケーションです。スキャンを実行する開発環境のローカルエージェントと、クラウド上にあるWhiteSourceのサーバーおよびデータベースで構成されます。スキャンにおいては誤検知を回避する仕組みが用いられ、正確なデータベースとのマッチングによりOSS利用の実態を効果的に把握することが可能となっています。

WhiteSource 構成

エージェント(Unified Agent)

WhiteSourceでは「Unified Agent」と呼ばれるJavaのクライアントアプリケーションが解析対象となるソースなどからデータ抽出を行います。開発マシンやビルド環境(JenkinsなどのCIツール環境)などで本アプリケーションを動かし、ファイルやビルド情報などから必要なデータを取得します。ソースファイルに関する情報はUIDなどに加工されてクラウドに送信されるため、機密情報であるソースファイルの中身などが公開される心配はありません。

サーバーおよびデータベース

クラウド上にあるWhiteSourceのサーバーは、エージェントから送信されたデータを基にして解析結果を作成する役割を担います。マスターデータベースには最大4,500万件を超えるOSSプロジェクト(ソースライブラリ)の情報が存在し、OSSコンポ―ネントとそのライセンスなどに関する膨大な情報が蓄積されています。WhiteSourceの研究チームがメンテナンスする脆弱性情報もデータベース化されており、CVE情報とWhiteSource独自の情報が蓄積されています。

WhiteSourceの使い方

WhiteSourceの具体的な使い方については以下の記事を参照ください。

WhiteSourceの価格(Pricing)

開発者数に応じた年間サブスクリプションライセンスです。
費用やライセンス形態については「WhiteSourceの価格とライセンス体系」を参照ください。

無償トライアルについて

トライアル用のライセンスを用いてWhiteSourceの評価を行うことができます(期間は最大14日間です)。ご希望のお客様はお問い合わせからトライアル希望をお伝えください。

無償トライアルを依頼する

WhiteSourceのことなら日立ソリューションズ

日立ソリュ―ションズは豊富な導入実績をもつWhiteSourceの国内販売代理店です。当社の特色について説明します。

選ばれる理由

reason 01

ツールを熟知した
エンジニア集団

OSS管理ツールの販売と導入支援に関して10年以上の経験があります。WhiteSourceについても日本市場に参入後まもなく代理店として活動しており、多くのお客様に導入実績がございます。

reason 02

OSSのマネジメントに
関するノウハウ

当社のオープンソース管理ソリューションはさまざまな業種・業界のお客様にご利用いただいております。メンバーが運営するOSS管理ブログでも随時ノウハウを発信しています。

reason 03

日本企業として唯一の
OpenChain公式パートナー

日本企業として初のOpenChain(*)公式パートナーであり、お客様の課題解決をツール・プロセスの両面からトータルでサポートすることが可能です。

OpenChain

*OpenChainはOSS管理の国際標準であるOpenChain仕様を定めるThe Linux Foundation傘下のプロジェクトです。

支援メニュー

WhiteSource導入に関連して、以下のようなサービスも提供しております。お客様のご要望に合わせて対応致しますので、ご希望があればご相談ください。※いずれも個別見積となります。

特典

購入特典

教育・よろず相談の詳細は「オープンソース管理ソリューション」を参照

関連商品との組み合わせでWhiteSourceの活用法はさらに広がる

GitHub Enterprise

開発組織のモダン化のためアプリケーション開発基盤を刷新したい

→ モダンなリポジトリプラットフォームでソフトウェア開発のプロセスを改革

アトラシアン(Atlassian)社製品

アジャイル開発を推進するためのベストなツールを導入したい

→ Jira、Confluenceなどのデファクトツールで組織をアジャイルに変革

HashiCorp
(ハシコープ)社製品

クラウドインフラ管理を自動化してDevOpsを促進したい

→ ハイブリッド・マルチクラウドの開発・運用を効率化

オープンソース管理
ソリューション

OSSの脆弱性やライセンスに関するリスクを低減したい

→ 先進的なツールと専門的なコンサルで安心安全なOSS活用を実現

FAQ(よくある質問)

WhiteSourceは年間サブスクリプションライセンスで提供されます。詳細は以下を参照ください。
WhiteSourceの価格とライセンス体系

提供しています。
詳細は「無償トライアルについて」を参照ください。

ソースコードから生成したハッシュ値などのデータが暗号化されて送信されます。元のソースファイルに戻すことができない状態で送信されますので、ソースファイルの中身が外部に公開されることはありません。

REST APIを利用することができます。

対応していません。 スニペットの検査は誤検知を大量に含むため、人間による膨大な確認作業が必要になります。プロセスの自動化を阻害することから、WhiteSourceではこの類のスキャンに対応していません。

以下のとおりです。

Repositories Bitbucket Data Center / Bitbucket Server / GitHub / GitHub Enterprise / GitLab / Azure DevOps (Beta)
Image Registries Amazon Elastic Container Registry / Azure Container Registry / Docker Hub / Google Container Registry / JFrog Artifactory Docker Registry / GitHub Packages
Package Managers Apache Maven / Gradle / Apache Ant / Opam / npm / yarn / Nuget / Paket / Cabal / Cocoapods / Go dep / Go Module / Go Vndr / Hex / pip / Pipenv / Poetry / Packrat / Bundler / sbt / composer / Go Gradle / Bazel
CI/CD Tools Jenkins / Team City / Bamboo / Azure DevOps / CircleCI / AWS CodeBuild / Travis CI / Google Cloud Build
Issue Tracking Jira
IDE Visual Studio / Visual Studio Code / Eclipse / GitHub Codespaces / IntelliJ
Browser Google Chrome / Microsoft Edge
Serverless AWS Lambda

正確な最新情報については別途お問い合わせください。

C言語、C++、Java、C#、JavaScript、TypeScript、PHP、Python、Ruby、Go、Objective-C、Swift、Kotlin、Rust、Scalaなどの著名な言語はもちろん、200以上の言語をサポートしています。

C# NuGet + .Net / Paket
Elixir, Erlang MIX
Go Dep / Godep / Vndr / Gogradle / Govendor / Gopm / Glide / Vgo / Modules
Haskell Cabal
Java Maven / Gradle / Ant
JavaScript yarn / npm / bower
Objective-C, Swift CocoaPods
OCaml Opam
PHP Composer
Python pip / Poetry / Pipenv / Conda
R Packrat
Ruby Bundler
Rust Cargo
Scala SBT

正確な最新情報を含め、サポート内容の詳細を知りたい場合は別途お問い合わせください。

最終更新日:2022年2月28日