HOME > 検証サービス・ツール > セキュリティ・コンプライアンス > OSS(オープンソースソフトウェア)診断

OSS(オープンソースソフトウェア)診断

OSS(オープンソースソフトウェア)診断 ソフトウェアを分析し、利用しているオープンソースソフトウェアと、ライセンス情報等を可視化。把握しづらいOSSの利用状況やライセンス問題を洗い出し訴訟リスクを可能な限り低減します。 オープン系開発におけるオープンソースソフトウェア(OSS) の利用は、技術的優位性、・コスト削減等、さまざまなメリットから、なくてはならない存在となっています。その一方、OSS利用に伴うライセンスは非常に複雑であり、権利問題を把握しないままの利用は大きなリスクとなります。 欧米ではすでにOSSのライセンスに関する訴訟が増加しつつあり、あらゆる企業がその対応に迫られています。OSSを活用する開発では、サポート体制の確認やOSS技術を有する要員の確保はもちろん、ライセンスリスクや脆弱性への対応も必要不可欠です。

OSSライセンス要求事項の代表例

  • ソースプログラムの開示
  • Copyrightの著作権表示
  • ドキュメントに謝辞の掲載

など、OSS利用に伴う要求のレベル/内容は多岐にわたります。

こんな方にお勧めします

  • 納品先のクライアントからソフトウェアに含まれている OSS の一覧を提示することを要求されている
  • ソフトウェアにオープンソースやサードパーティのソースコードが意図せず混入していないかを短期間で明らかにしたい
  • 委託先から納品されたソフトウェアに含まれているOSSを把握したい
  • 開発したソフトウェアがライセンス違反していないかどうかを把握したい

こんな悩みを解決します

  • 使用しているOSSのライセンスを順守できているか不安
  • 利用しているOSSに脆弱性があると聞いたが、具体的な危険性を知りたい
この検証サービスについてのお問い合わせ

PAGE TOP

特長

OSSの混入の危険性

効率化や品質向上のためにオープンソースソフトウェアを利用することは一般的になりつつありますが、オープンソースソフトウェアのライセンスについて理解している開発者はまだ少数です。 例えば、GPLのソフトウェアを利用して開発した場合、対応する部分のソースコードを開示することが利用条件になります。開発後に著作権をクライアントに譲渡する契約では多くの場合、OSSを使用することはできません。 BSDライセンス のOSSはライセンス条文の表示が義務付けられていて、条文には安全性が「無保証」であることが明記されていることから、脆弱性を含んでいる可能性を理解した上で利用する必要があります。 開発効率の向上や利便性というメリットがある一方、OSS利用には上記のような様々なリスクが伴います。

オープンソースソフトウェアの一例とそのライセンス
OSS名 ライセンス 概要
apache Apacheライセンス オープンソースのWebサーバソフトウェア
BusyBox GPLライセンス Unixのユーティリティを多数利用できるソフトウェア。サイズが小さいので組み込み製品によく利用される。
Eclipse EPLライセンス IBMによって開発された統合開発環境。EPLは、Common Public License(CPL)から派生したライセンス
WordPress GPLライセンス オープンソースのCMS。データベース管理システムとしてMySQLを利用している。
EC-CUBE GPLライセンス または 商用の有料ライセンス 日本製のECサイト構築用オープンソース
jQuery MITライセンス オープンソースのJavaScriptライブラリの一つ

オープンソースソフトウェアの混入を検出

現場の開発者は契約内容を詳細に把握していないことも多く、オープンソースの利用を認められていない開発プロジェクトや、著作権をクライアントに譲渡する契約の開発プロジェクトでオープンソースソフトウェアを利用してしまうことがあります。OSS本体を利用していなくても、ソースコードの一部が混入してしまう場合もあります。 一旦混入したOSSの利用を見送る際は開発の大幅な手戻りになりますが、リリース後に利用者やOSSの著作権者、またその代理人から指摘を受けた場合、損害賠償などさらに大きな損害につながる可能性があります。 OSS本体を意図的に利用している場合は発見も容易ですが、OSSのソースコードの断片が混入した場合、ソースコードレビューだけですべてを発見するのは非常に困難な上、大幅なコスト増加につながります。 OSS診断では、ソースコードレビューだけでは発見しづらい意図せぬOSSの混入をスピーディに検出します。

具体的な問題点を可視化

診断対象のソフトウェアの規模や、利用を把握しているOSSについての情報等をヒアリングしたうえで検査対象のソフトウェアを詳細に検査。混入しているOSS、OSSソースコードの断片や、混入箇所、ライセンス上の問題点、OSSの脆弱性などを可視化します。 開発プロジェクトごとに異なる状況を把握した上で具体的な問題点を検出するため、発見された問題に対して正確かつ迅速な対応が可能になります。

訴訟リスクを最小限に

OSSは著作権放棄されたパブリックドメインソフトウェア(PDS) と異なり、製作者の著作権が存在します。ライセンス違反が発覚した場合、著作権者が企業の場合は訴訟に発展する可能性が高く、著作権者が個人の場合でもWebサイト上でライセンス違反者の公表や代理人による提訴等の例があります。 いずれもコンプライアンスの観点から大きな企業価値の損失となります。 OSS混入を早期に発見することで、このようなライセンス違反リスクを最小限にとどめることができます。

OSS(オープンソースソフトウェア)診断」についてのお問い合わせはこちら

この検証サービスについてのお問い合わせ

PAGE TOP

類似の目的で使用できるサービス・ツール

PGRelief

Palamida

OSS利用状況・ライセンスを可視化、訴訟リスクを低減

用語解説

オープンソースソフトウェア【 Open Source Software 】OSS

インターネットなどを通じてソフトウェアのソースコードを無償で公開し、誰でも改変、再配布が行えるようにすること。そのようなソフトウェア。

GPLライセンス 【 The GNU General Public License 】 GNU一般公的使用許諾

フリー/オープンソースソフトウェアのライセンス体系の一種。ソースコードの公開を条件に、ソースコードを含めた再配布・改変を認めている。また、再配布や改変の自由を妨げる行為を禁じている。FSFの「あらゆるソフトウェアは自由に利用できるべき」という理念に基づき明文化されたソフトウェアライセンス体系。

BSDライセンス【 Berkeley Software Distribution License 】

オープンソースソフトウェアのライセンス体系の一種。著作権およびライセンス条文の表示を条件に、再頒布可能とするライセンス規定。この条件を満たせばソースコードを複製・改変して作成したオブジェクトコードを、ソースコードを公開せずに頒布することができる。品質の保証や、特定の目的に対して適しているという保証がない「無保証」であることが明記されている。

PDS【 Public Domain Software 】パブリックドメインソフトウェア

製作者が著作権を放棄したソフトウェア。誰でも自由に修正・改変を行ったり、第三者に対し再配布することができる。日本の法制度では著作権の放棄が認められていないため、厳密にはPDSは日本には存在しない。いわゆるオープンソースソフトウェアは、製作者がソフトウェアに関する権利を有したまま、利用者に再配布や改変など認めており、PDSではない。

仕様書・設計書検証

セキュリティ・コンプライアンス

システム機能検証

テスト自動化

テストプロセス改善

ソースコード検証

システム負荷検証

測定サービス・ツール

管理・監視・運用

開発者支援

認証審査