フレクセラ、オープンソースの自動化を促進 / ソフトウェアのスキャン、コンプライアンス、保護を容易に

 

フレクセラ・ソフトウェア合同会社（本社：東京都港区、以下「フレクセラ」）( https://www.flexera.jp/)はオープンソース・ソフトウェア（OSS）ライセンスのコンプライアンスおよび脆弱性対策を容易にする、FlexNet Code Insight 2018 R2( https://www.flexera.com/products/software-composition-analysis/flexnet-code-insight.html?utm_source=Globe%20Newswire&utm_campaign=FNCI)を発表しました。これにより、ソフトウェア・サプライヤーはそのソフトウェア・サプライ・チェーンに新たな信頼性と高い透明性を提供することができるようになり、ボタン操作ひとつでソフトウェア資産を分析し、部品表(BOM)の作成を可能にします。

 

※イメージ画像はこちらからダウンロードできます。

https://dl.nxlk.jp/02042dbd-a04b-4da8-b246-f358bc544357

 

■ フレクセラの製品管理担当バイスプレジデントであるJeff Luszczは次のように述べています。

「FlexNet Code Insightは、ソフトウェア・サプライ・チェーン全体に影響を及ぼす脅威を回避することでソフトウェア・ベンダーを支援します。商用ソフトウェアのリリースに含まれるコードの50％以上がオープンソースです。しかし、アンマネージドのオープンソース・コードは脆弱性が確実に拡大しつつあり、脆弱性対策をしていないソフトウェア購入者は、脆弱性に潜在するリスクに気づいていません。使いやすさ、スピード、インテリジェンスを備えたFlexNet Code Insightは、ソフトウェア・サプライ・チェーンからOSSのリスク部分を取り除く包括的なアプローチで、ソフトウェアの組成分析（コンポジション・アナリシス）を強化しています。」

 

■ 自動化の推進により、ボタン操作ひとつでBOMを作成

正確さと保全性を維持するために、ソフトウェア・コンポジション・アナリシスを専用のプラットフォームで動作させ、オープンソースの検出と問題の修正を自動化し、ワークフローを提供する必要があります。今回発表したFlexNet Code Insightは、使用しているオープンソースが正確に記載された部品表（BOM）を作成する際に、さらなる自動化を可能にします。ソフトウェア・サプライ・チェーンがこれまで以上に複雑になったことで、サプライヤーとバイヤーの安全性、セキュリティ、コンプライアンスに関するソフトウェアへの懸念が高まっており、自動化が不可欠になりつつあります。正確なBOMの作成が、早急な問題解決と軽減につながります。

 

FlexNet Code Insightのコンポーネント・インベントリ作成の自動化、そして依存性レポートを含む緻密な検出方法によりさらなる効率化を実現すると同時に、階層の深いコンポーネントもすべて追跡可能になります。トップレベル項目のみのスキャン、または直接的および過渡的なパッケージの依存を対象としたスキャンなど、オープンソースのスキャンの密度管理が可能になります。

 

■ 脆弱性に関する豊富な情報、保護の強化

オープンソース・コンポーネントの使用にあたり、使用しているコンポーネントと脆弱箇所を明確にマッチングするためのリストが必要です。FlexNet Code Insightでは、脆弱性に関する情報と対象範囲が拡大され、フレクセラのSecunia ResearchおよびNational Vulnerability Database（NVD）から得られる情報を介して、7万件以上の脆弱性をマッピングすることができます。脆弱性がソフトウェア・サプライヤーのソフトウェア・インベントリに直接マッピングされ、必要なアクションや重大度レベルを特定します。これにより読みやすいリスク・レポートが作成されるのです。フレクセラの顧客はその情報に基づき、リスクの高い項目を優先して確認することができ、アドバイザリ・データに従って早急にリスクの軽減を図ることが可能となります。

 

■ ソフトウェア・インテグレーションおよび容易なプラグイン

フレクセラはOSSのスキャン、コンプライアンス、セキュリティ分野をさらにリードしていきます。新リリースでは、オープンソースのスキャンをDevOps(※1)のアジャイル・プロセスにシームレスに組み込み、継続的なスキャン、統合、修正を可能にします。 

 

※1 ソフトウェア開発手法の一つ。 開発 (Development) と運用 (Operations) を組み合わせた造語であり、開発担当者と運用担当者が連携して協力する開発手法。

 

開発チームは、追加設定が不要な15の統合アイテムを駆使することで、OSSスキャンを容易にCI/CDプロセスに組み込み、他のシステムからデータを取り込むことが可能となります。コードがビルドに採用されるとスキャンが行われるため、問題を早期に特定し、迅速に修正することができ、リリースの遅延を防ぎます。問題が発生した場合は、JIRAワークアイテムを作成してコードをクリーンアップする修正作業を管理することができます。統合にはJenkins、JIRA ALM、Git、Maven、Gradle、Artifactory、Perforce SCM、Docker、VSTS、GitLab、Team Cityなどが含まれています。

 

■ フレクセラのJeff Luszczはまた、次のように述べています

「オープンソースのスキャンと分析は、ソフトウェアを構築している企業にとって標準のプロセスです。優れた統合と既存ツールやプロセスにより、フレクセラは標準プロセスの一部としてスキャンと修正を可能にし、安全で規制に準拠したソフトウェアの構築に大きく貢献します。」

 

# # #

 

■ フレクセラについて

フレクセラは、ソフトウェアの購入、販売、管理、保護の方法を根底から変えます。弊社はソフトウェア業界を1つのサプライ・チェーンとみなし、ソフトウェア売買のビジネスをより透明性高く、安全で、効率的なものへと刷新します。弊社の収益化およびセキュリティ・ソリューションをご利用になれば、ソフトウェアの販売者は、そのビジネス・モデルを変革し経常収益を高め、オープンソースのリスクを最小限に抑えることができます。弊社の脆弱性およびソフトウェア資産管理（SAM）ソリューションは、アプリケーションの購入に伴う無駄や予測不能性を取り除きます。そのため企業は、必要とするソフトウェアやクラウド・サービスのみを購入し、所有しているものを管理し、ライセンス・コンプライアンスとセキュリティのリスクを抑制することができます。弊社は30 年以上にわたる実績を持ち、1000人を超す従業員と情熱的に、80,000 社以上のお客様のROIを大幅に高めるお手伝いをしています。詳細はこちらをご覧ください。

https://www.flexera.jp/