ブラック・ダック・ソフトウェアは、2017年10月13日まで東京ビッグサイトで開催中の「ITpro EXPO 2017」に、オープンソース・ソフトウエア(OSS)を利用する企業のリスクを管理するソフト「Black Duck Hub」を展示している。セキュリティ上のリスクだけでなく、ライセンス管理や運用面でのリスクを数値化して提示してくれる。

OSSのリスクを管理する「Black Duck Hub」。3つのリスクを可視化
[画像のクリックで拡大表示]

 Black Duck Hubは、OSSを使ったシステムのリスクを、セキュリティ、ライセンス、運用の3領域で管理する。スキャンツールやソースコード管理ソフトの連携ツールを通じて、ユーザーのアプリケーションのソースコードを走査。Black Duck Hubにアプリケーションが利用するOSSの情報を収集し、その情報をブラック・ダックが運営するデータベースと突き合わせ、それぞれリスクの度合いを高・中・低の3段階で判定する。

スキャンしたソースコードが利用するOSSの脆弱性と状態を確認
[画像のクリックで拡大表示]

 セキュリティは、脆弱性の深刻度を示すCVSSスコアで分類する。ライセンスは、不明なもの、ソースコード開示義務が生じるものなどリスク高とする。運用は、OSSの開発者数やコードの追加・変更(コミット)数、開発年数を基に高中低を判定する。

 脆弱性の情報は、NVDやJVNのほか、米ブラック・ダック・ソフトウェア独自のセキュリティチームが50人体制で提供。脆弱性情報の解決策を、NIST運営の脆弱性情報データベースの「NVD」や、JPCERT/CCとIPAの共同運営の「JVN」などより平均で3週間ほど早く提示できるという。解析した情報は、Black Duck Hub以外に「Open Hub」サイトで無償公開している。

OSSのリスクは「Open Hub」サイトで無償公開。世を騒がせたHeartbleed脆弱性の発覚を機に、OpenSSLの開発者数が増えているのが分かる
[画像のクリックで拡大表示]

 価格はソースコードの量やプロジェクトの数に応じた個別見積もりで、数百万円程度から。デモ機では328Mバイトのソースコードを5分程度でスキャンし終えていた。