オープンソース活用研究所 | オープンソースライセンス管理ソリューションのご提案(後編)

オープンソースライセンス管理ソリューションのご提案(後編)

オープンソース活用研究所

2016年06月27日
オープンソース活用研究所 所長 寺田雄一

2016年2月23日に株式会社オージス総研東京本社にて「OSSライセンスをめぐる国内外の係争事例 ~OSSを適正利用するために~」というセミナーが開催されました。前回に続き「オープンソースライセンス管理ソリューションのご提案」の演題で株式会社オージス総研 サービス事業本部グローバルプロダクト部リーダーの吉井雅人様にお話いただいた内容を筆者がご紹介いたします。

Palamidaでいつ検査をするか?

Palamidaを使った検査ですが、いつ行うのがよいのでしょうか?講師のお話では、プログラミングの単体テストが終わってソースコードとライブラリが出揃った時点などの、できるだけ早い段階がよいそうです。一方で同社が検査依頼を受けるのはリリース直前が圧倒的に多いそうで、講師はできるだけ早い段階で検査を実施することが手戻りを防ぐ方法になると力説されました。

また、もっと早い段階での検査において、利用が予定されているOSSやそのバージョンがわかっている場合、まずは自社のOSS利用ポリシーに適合しているか、また脆弱性の有無の確認などOSSそのものをチェックすることを推奨されています。

スライド-開発プロセスの早い段階で検出する

Palamidaの脆弱性検出

Palamidaの脆弱性検出ですが、OSSのコンポーネントとバージョンをもとに解析を行います。NVD(National Vulnerability Database)のデータをもとに脆弱性データを作っており、該当OSSに既知の脆弱性がある場合にはレポート出力します。

脆弱性が特定されると下のような詳細レポートが出力されます。

スライド-特定されたライセンスと脆弱性

ファイルを変更されていた場合の特定

ファイルを変更されていた場合、特にコピーペーストが増えると オープンソースの特定、特に脆弱性の特定が難しくなります。場合によっては専門の人間が行う必要が生じてくるそうです。

スライド-ファイルを変更されていた場合の特定

オージス総研のオープンソース診断サービス

オージス総研は2008年からオープンソース診断サービスを行っています。プロフェッショナルであるオージス総研が、お客様に成り代わりOSSの検査作業を行うというサービスです。OSS、バージョン、ライセンス、脆弱性の有無などをファイル単位で明確にし、著作権違反が疑われるファイルの特定や伝播性の強さ別にライセンスを分類し、それを分かり易いレポートにしてお客様に報告しています。OSSの検査作業は社外のプロフェッショナルにアウトソースするというポリシーをお持ちのお客様や、より高精度なレポートを求められるお客様にお奨めのサービスです。

オージス総研ではこれまで、お客様のソフトウェアや自社開発のソフトウェア等、数多くのソフトウェアを診断しており、その経験を活かして品質の高いサービスを提供しています。

スライド-詳細な診断を実施

標準の診断フローは事前に打ち合わせして検査対象のファイル数を算出し、Palamidaを使って検査します。検査結果は詳細にまとめられて報告会で報告されます。報告会ではどんなライセンスがあるか、どんなコンポーネントがあるか、ライセンス条件などについて細かく報告されます。ファイル単位でわかるので例えばあるファイルがポリシーに反するライセンスだった場合、スクラッチで作り直すとか除去するといった対応がとりやすくなります。

オープンソースライセンスコンサルテーション

ところで講師によるとOSSライセンスには色々な種類があり、全世界で2,000種類以上あるそうです。OSSライセンスがよくわからない方・企業のために同社はオープンソースライセンスコンサルテーションも行っています。

オープンソースライセンスコンサルテーションではまず会社として、どのOSSライセンスが使用可能であるかをヒアリングします。次に、B2Cの製品を開発して消費者に広く販売するのか、あるいはB2Bで一部の会社に配布するのか、ライセンス条件は発生するのかなどを含めて明確化します。そしてお客様の利用シーンに応じてポリシーを作っていきます。

また、クラウドベースでOSSを利用する際にAffero GPLに気を付けたほうがよい旨、説明されました。Affero GPLとは、ネットワーク経由のASP、SaaSという形でソフトウェアを使う際にもその利用者にソースコードを開示しなさいというものです。

オープンソースライセンス教育も実施

同社はまた、開発者向けのオープンソースライセンス教育も行っています。これは開発者に対し、例えばGoogleで検索してソースコードをコピーペーストすると著作権違反になってしまうということや、ポリシー作成の重要性などについて教育を行うものです。オープンソースライセンス教育はトータルではとてもコストパフォーマンスが良い方法とのことです。

オージス総研の支援事例

オージス総研の支援事例として、OSS利用ガイドライン作成支援の事例も紹介されました。開発部、知財部、品質保証部といった関係部署が全社的にコミットして利用ガイドラインを作ることの重要性を説明されました。

また、最近多いのはライセンスコンサルテーションサービスの依頼だそうです。ライセンスは大体わかっていて名前も知っているが、あるソフトウェアがどのライセンスなのかわからない、具体的にどういう条件なのかわからない、ライセンス毎にどういう対応をすればいいのか、などに対してメールベースでアドバイスしているそうです。

OSSの適正な利用に向けて

講演の締めくくりとして、OSSの適正な利用のために現状把握の重要性が説明されました。また、運用ポリシー作成の必要性も提起されました。社内の特定の人物に依存する属人的な対応を行うのではなく、会社単位で運用ポリシーを作り、それを適時PDCAしながら現状に合わせていくことでOSSは適正に利用できる、という事でした。

本セミナーの資料

本セミナーの資料は以下のURLからダウンロードすることができます。
https://majisemi.com/e/c/ogisP-20160223

※上記URLをクリックしていただくと、まず第一部の「OSSライセンスをめぐる国内外の係争事例」の講演資料が表示されますが、講演資料を請求していただきますと、第二部の「オープンソースライセンス管理ソリューションのご提案」の講演資料も含めてメール送付されます。

どうぞご参考ください。


OSSNEWSに広告を掲載しませんか?

著者プロフィール

オープンソース活用研究所 所長 寺田雄一

1993年、株式会社野村総合研究所(NRI)入社。 インフラ系エンジニア、ITアーキテクトとして、証券会社基幹系システム、証券オンライントレードシステム、損保代理店システム、大手流通業基幹系システムなど、大規模システムのアーキテクチャ設計、基盤構築に従事。 2003年、NRI社内に、オープンソースの専門組織の設立を企画、10月に日本初となるオープンソース・ソリューションセンター設立。 2006年、社内ベンチャー制度にて、オープンソース・ワンストップサービス 「OpenStandia(オープンスタンディア)」事業を開始。オープンソースを活用した、企業情報ポータル、情報分析、シングルサインオン、統合ID管理、ドキュメント管理、統合業務システム(ERP)などの事業を次々と展開。 オープンソースビジネス推進協議会(OBCI),OpenAMコンソーシアムなどの業界団体も設立。同会の理事、会長や、NPO法人日本ADempiereの理事などを歴任。 2013年、NRIを退社し、株式会社オープンソース活用研究所を設立。

最新TOPICS

【OSS】Fugue、AWS向けセキュリティ(コンプライアンス)チェックツール「Regula」をオープンソース公開---CI/CDツールと連携して動作(2020年01月23日 11:26)

「Regula」とは Regulaは、AWS環境において、展開前に「セキュリティ構成ミス」や「コンプライアンス違反の可能性」について、インフラストラクチャ定義ツール「Terraform」を使用して評価できるツール。 CI/CDパイプラインに統合することで、セキュリティおよびコンプライアンスの慣行に違反する可能性のあ...

関連オープンソース

バックナンバー

関連記事

  • オープソース書籍(サイド)

facebook

twitter