OSSアセスメントサービス

OSSアセスメントサービスとは

近年、製品・サービス開発に占めるオープンソースソフトウェア(OSS)の重要性は高まっており、OSSにより様々な分野で様々な機能を実現し、様々な付加価値を創出しています。世の中には様々な機能を提供する多数のOSSが存在し、製品・サービス開発のソフトウェアのソースコードベースの90%以上でOSSが活用されていると言われています。ただし、OSSは、ソースコードが一般に公開されていることもあり、いつ起きるかもしれないライセンス/セキュリティの脅威が潜んでいるといえます。
そのため、OSSの活用にあたっては、ライセンス遵守や脆弱性対策、問題発生時の適切な対応が非常に重要です。
OSSアセスメントサービスは、製品・サービス開発の全ライフサイクルにわたりこれらの課題を解決し、お客様の安心・安全なOSSの活用・管理を支援するサービスです。

OSS管理の課題

OSSには多くのメリットがある反面、ソフトウェアライセンスにおけるコンプライアンス違反の防止や脆弱性(セキュリティ)対策、問題発生時の早急な対応を考慮しておく必要があります。そのため、製品・サービスに含まれるすべてのソフトウェア情報を正確に把握し、共通化・標準化された仕組みを用いて効率的に管理・運用することが求められます。

  • 製品・サービスに含まれるソフトウェアコンポーネント情報の可視化(SBOMによる管理)
  • ソフトウェアサプライチェーンにおけるソフトウェア情報(SBOM)の伝達・共有
  • 組織ガバナンス、OSSポリシー、教育、プロセスなどの整備と運用

SBOMとは

SBOM(Software Bill Of Materials)とは、特定の製品・サービスに含まれるすべてのソフトウェアコンポーネント(プロプライエタリ、OSSなど)の出所、ライセンス、バージョン、セキュリティ属性、依存関係などを一覧化したもので、ソフトウェア部品表と呼ばれます。SBOMによるソフトウェア構成管理を行うことにより、ソフトウェアのサプライチェーンを可視化する事に役立ち、ライセンスコンプライアンスやセキュリティ、品質に関するリスクを明らかにします。

OpenChainとは

OpenChainは、Linux Foundation傘下のプロジェクトで、OSSのライセンスコンプライスプログラムを組織が構築するための指針やセキュリティアシュアランスのための指針(Security Assurance Specification)を整備・提供しています。また、国際標準である OpenChain ISO/IEC 5230:2020 の維持を行っています。
OSSの活用においては、製品・サービスに含まれるソフトウェアコンポーネントの情報を正確に把握し、リスクを考慮した適切なマネジメントが重要です。国際標準であるOpenChain ISO/IEC 5230:2020 の要求事項に基づいたOSS管理プロセスを取り入れることで、組織やソフトウェアサプライチェーンに対する信頼性を高めます。

OSSアセスメントサービスの特長

Linux/OSSのスペシャリストが豊富な経験に基づき、お客様の製品・サービスの企画・開発から保守まで、全ライフサイクルを強力に支援し、お客様は安心してOSSの活用・管理が行えます。

  • Linux/OSSの製品適用の豊富な実績とLinux/OSSコミュニティへの貢献

    ・30年以上にわたるOS開発の経験、富士通グループを中心とした100以上のシステムにLinux/OSSを適用した実績に基づいたライセンス遵守や脆弱性対応などの豊富なノウハウ
    ・Linux Kernel, Yocto Project, Automotive Grade Linuxを始めとするLinux/OSSコミュニティへの数多くのパッチ投稿やカンファレンスでの発表による貢献
    ・OpenChainプロジェクトのプラチナメンバとして活動

    これらの活動成果を活かし、安心してOSSを活用していただけるサービスを提供します。
    お客様のお悩みや課題に柔軟に対応し、課題解決を支援いたします。

OSS管理支援サービス

お客様の製品・サービス開発の全ライフサイクルにわたるOSSの活用・管理のための支援サービスを提供します。

分類メニュー支援概要
OSS管理支援サービスSBOM作成お客様のOSS利活用方針に従い、ライセンス義務履行に関するポリシーを作成し、ライセンススキャナーによるライセンス明確化・SBOM作成を支援します。
SBOM管理システム構築お客様の開発環境などを踏まえ、脆弱性監視に必要なツール群にて、ご要望に応じたDevSecOps環境の構築を支援します。
OSS成熟度コンサルティングお客様のOSS利活用におけるガバナンスの整備状況について、​情報収集、課題やリスク事項の検討を支援します。
OSSポリシー・ガイドライン策定お客様のOSSビジネスへの戦略等を元に、利活用ポリシーや社内の規約(ガイドライン)などの策定について、アドバイス/支援します。
OSS教育経営者、開発者、​プロジェクトマネージャーなどが身につけておくべきOSSの利活用と​リスク対策に関するノウハウを説明します。
よろず相談お客様が抱えるOSSのリスク​・悩みごと、OpenChain認証の取得に関するご相談などに応じます。

OSS脆弱性管理サービス

お客様の製品・サービスで利用されるOSSの脆弱性管理に関する支援サービスを提供します。

分類メニュー支援概要
OSS脆弱性管理サービス脆弱性管理OSSの脆弱性情報の監視・収集および分析を行い、お客様へ情報を配信します。
脆弱性Q&A
(オプション)
お客様からの脆弱性管理に関するご質問・ご相談などのお問い合わせに応じます。

資料ダウンロード

ご紹介資料
OSS脆弱性管理サービス

支援実績

当社OSSアセスメントサービスをご利用されたお客様の支援事例を紹介いたします。

  • SBOMを使ってライセンスコンプライアンスの問題を解決

    D社様

    ・お客様課題
    調達した製品にはOSSが搭載されています。過去に採用した実績がないため、提供されたOSSの情報に不備がないか判断できず、ライセンスコンプライアンスを遵守できるか不安があります。

    ・支援内容
    ライセンススキャナーによる解析とライセンス調査を実施し、その情報を基にSBOM(SPDX:Software Package Data Exchange)を作成して搭載されているOSSを明確化しました。また、お客様のOSS利活用方針に従い、各ライセンスの義務を履行する上で必要な事を整理してライセンスコンプライアンスの遵守を支援しました。

  • OSSスペシャリストが脆弱性を監視してお客様の安心・安全を支援

    N社様

    ・お客様課題
    出荷する製品をメンテナンスするために、搭載されるOSSの脆弱性を監視/管理する必要がありますが、脆弱性監視/対策に関する知見がありません。

    ・支援内容
    お客様のOSS情報(パッケージ名やバージョンなど)をもとに、脆弱性監視ツールを用いた脆弱性監視を行い脆弱性情報を配信しています。また、検出した脆弱性がお客様の製品で該当するかを判断し、必要な修正案を作成して脆弱性対策を支援しています。

  • DevSecOps環境を構築して開発ライフサイクルのプロセスを改善

    S社様

    ・お客様課題
    次期システムに実装するOSSの品質プロセスを向上させるためにCI/CD環境を構築したいです。

    ・支援内容
    お客様の開発ライフサイクルや開発環境などのヒアリングと調査を行い、各工程に適切なツールを提案して、ご要望に沿ったDevSecOps環境の構築と構築した環境を用いたプロセス改善を支援しました。

OSSの活用・管理でお困りの方は、ぜひ一度ご相談ください。

富士通のLinux情報に関するお問い合わせ

Webでのお問い合わせ

当社はセキュリティ保護の観点からSSL技術を使用しております。

お電話でのお問い合わせ