OSSアセスメント支援サービス
OSSアセスメント支援サービスとは
近年、製品・サービス開発に占めるオープンソースソフトウェア(OSS)の重要性は高まっており、OSSにより様々な分野で様々な機能を実現し、様々な付加価値を創出しています。世の中には様々な機能を提供する多数のOSSが存在し、製品・サービス開発のソフトウェアのソースコードベースの90%以上でOSSが活用されていると言われています。ただし、OSSは、ソースコードが一般に公開されていることもあり、いつ起きるかもしれないライセンス/セキュリティの脅威が潜んでいるといえます。
そのため、OSSの活用にあたっては、ライセンス遵守や脆弱性対策、問題発生時の適切な対応が非常に重要です。
OSSアセスメント支援サービスは、製品・サービス開発の全ライフサイクルにわたりこれらの課題を解決し、お客様の安心・安全なOSSの活用・管理を支援するサービスです。
OSS管理の課題
OSSには多くのメリットがある反面、ソフトウェアライセンスにおけるコンプライアンス違反の防止や脆弱性(セキュリティ)対策、問題発生時の早急な対応を考慮しておく必要があります。そのため、製品・サービスに含まれるすべてのソフトウェア情報を正確に把握し、共通化・標準化された仕組みを用いて効率的に管理・運用することが求められます。
- 製品・サービスに含まれるソフトウェアコンポーネント情報の可視化(SBOMによる管理)
- ソフトウェアサプライチェーンにおけるソフトウェア情報(SBOM)の伝達・共有
- 組織ガバナンス、OSSポリシー、教育、プロセスなどの整備と運用
SBOMとは
SBOM(Software Bill Of Materials)とは、特定の製品・サービスに含まれるすべてのソフトウェアコンポーネント(プロプライエタリ、OSSなど)の出所、ライセンス、バージョン、セキュリティ属性、依存関係などを一覧化したもので、ソフトウェア部品表と呼ばれます。SBOMによるソフトウェア構成管理を行うことにより、ソフトウェアのサプライチェーンを可視化する事に役立ち、ライセンスコンプライアンスやセキュリティ、品質に関するリスクを明らかにします。
OpenChainとは
OpenChainは、Linux Foundation傘下のプロジェクトで、OSSのライセンスコンプライスプログラムを組織が構築するための指針やセキュリティアシュアランスのための指針(Security Assurance Specification)を整備・提供しています。また、国際標準である OpenChain ISO/IEC 5230:2020 の維持を行っています。
OSSの活用においては、製品・サービスに含まれるソフトウェアコンポーネントの情報を正確に把握し、リスクを考慮した適切なマネジメントが重要です。国際標準であるOpenChain ISO/IEC 5230:2020 の要求事項に基づいたOSS管理プロセスを取り入れることで、組織やソフトウェアサプライチェーンに対する信頼性を高めます。
OSSアセスメント支援サービスの特長
Linux/OSSのスペシャリストが豊富な経験に基づき、製品・サービス開発の企画・開発から保守まで、全ライフサイクルを強力に支援し、お客様は安心してOSSの活用・管理が行えます。
Linux/OSSの製品適用の豊富な実績とLinux/OSSコミュニティへの貢献
・30年以上にわたるOS開発の経験、富士通グループを中心とした100以上のシステムにLinux/OSSを適用した実績に基づいたライセンス遵守や脆弱性対応などの豊富なノウハウ
・Linux Kernel, Yocto Project, Automotive Grade Linuxを始めとするLinux/OSSコミュニティへの数多くのパッチ投稿やカンファレンスでの発表による貢献
・OpenChainプロジェクトのプラチナメンバとして活動これらの活動成果を活かし、安心してOSSを活用していただけるサービスを提供します。
お客様のお悩みや課題に柔軟に対応し、課題解決を支援いたします。
サービスメニュー
製品・サービス開発の全ライフサイクルにわたるOSSの活用・管理のサービスを提供します。
| 分類 | メニュー | 支援概要 |
|---|---|---|
| OSS管理支援 | SBOM作成 | お客様のOSS利活用方針に従い、ライセンス義務履行に関するポリシーを作成し、ライセンススキャナーによるライセンス明確化・SBOM作成を支援します。 |
| SBOM管理システム構築 | お客様の開発環境などを踏まえ、脆弱性監視に必要なツール群にて、ご要望に応じたDevSecOps環境の構築を支援します。 | |
| 仮想セキュリティオペレーションセンター(vSOC)構築 | お客様がご契約の脆弱性監視ツールにて、SBOMのOSSに関連する脆弱性情報の監視、該当有無の判断、分析/対応案の作成を支援します。 | |
| OSS成熟度コンサルティング | お客様のOSS利活用におけるガバナンスの整備状況について、情報収集、課題やリスク事項の検討を支援します。 | |
| OSSポリシー・ガイドライン策定 | お客様のOSSビジネスへの戦略等を元に、利活用ポリシーや社内の規約(ガイドライン)などの策定について、アドバイス/支援します。 | |
| OSS教育 | 経営者、開発者、プロジェクトマネージャーなどが身につけておくべきOSSの利活用とリスク対策に関するノウハウを説明します。 | |
| よろず相談 | お客様が抱えるOSSのリスク・悩みごと、OpenChain認証の取得に関するご相談などに応じます。 |
支援実績
当社OSSアセスメント支援サービスをご利用されたお客様の支援事例を紹介いたします。
SBOMを使ってライセンスコンプライアンスの問題を解決
D社様
・お客様課題
調達した製品にはOSSが搭載されています。過去に採用した実績がないため、提供されたOSSの情報に不備がないか判断できず、ライセンスコンプライアンスを遵守できるか不安があります。
・支援内容
ライセンススキャナーによる解析とライセンス調査を実施し、その情報を基にSBOM(SPDX:Software Package Data Exchange)を作成して搭載されているOSSを明確化しました。また、お客様のOSS利活用方針に従い、各ライセンスの義務を履行する上で必要な事を整理してライセンスコンプライアンスの遵守を支援しました。OSSスペシャリストが脆弱性を監視してお客様の安心・安全を支援
N社様
・お客様課題
出荷する製品をメンテナンスするために、搭載されるOSSの脆弱性を監視/管理する必要がありますが、脆弱性監視/対策に関する知見がありません。
・支援内容
お客様のOSS情報(パッケージ名やバージョンなど)をもとに、脆弱性監視ツールを用いた脆弱性監視を行い脆弱性情報を配信しています。また、検出した脆弱性がお客様の製品で該当するかを判断し、必要な修正案を作成して脆弱性対策を支援しています。DevSecOps環境を構築して開発ライフサイクルのプロセスを改善
S社様
・お客様課題
次期システムに実装するOSSの品質プロセスを向上させるためにCI/CD環境を構築したいです。
・支援内容
お客様の開発ライフサイクルや開発環境などのヒアリングと調査を行い、各工程に適切なツールを提案して、ご要望に沿ったDevSecOps環境の構築と構築した環境を用いたプロセス改善を支援しました。
OSSの活用・管理でお困りの方は、ぜひ一度ご相談ください。
富士通のLinux情報に関するお問い合わせ
お電話でのお問い合わせ
-
富士通コンタクトライン(総合窓口)
0120-933-200受付時間:9時~12時および13時~17時30分(土曜・日曜・祝日・当社指定の休業日を除く)