オープンソースライセンスコンプライアンスとガバナンス

近年、コスト削減、アジリティの向上、および競争上の優位性の推進という理由で、オープンソースソフトウェアの使用が世界中で劇的に増加しています。2015年2月の Gartner の調査報告書によると、99 パーセントの企業がオープンソースを使用していると回答していました。

オープンソースの使用が増加するとコードの複雑さが増し、承認済みおよびサポート対象のコードを必ず使用することの重要性がかつてないほど増しています。しかしながら、2015年2月付の同じ Gartner の調査では、オープンソースの使用および購入を管理するポリシーがあると回答した組織はわずか 3 分の 1 に過ぎませんでした。

オープンソースガバナンスおよびコンプライアンスが重要である理由

有効なオープンソースガバナンスが欠如していると、企業は既知の脆弱性を含むコードを通じて、正しくライセンス付与されない、修正の費用および時間がかかるバグが含まれる、または企業ポリシーに準拠しないなどの法的および業務リスクにさらされます。

これらのリスクを回避するために、企業はベストプラクティスに基づくポリシーおよび手続きを開発し、これらのポリシーを履行し、オープンソースコンポーネントの使用を自動的に管理するためのガバナンスプログラムを確立する必要があります。

オープンソースガバナンスおよびコンプライアンスへの包括的なアプローチ

一流企業では開発ライフサイクルプロセスの各段階で効果的なオープンソース管理ポリシーを整備しています。

選択

お客様のニーズに最適で最もセキュリティ確保されたオープンソースコードを選択することは不可欠ですが、100 万を超えるオープンソースプロジェクトの中から選択することは容易ではありません。

Black Duck® Protex™ および Code Center™ は Black Duck KnowledgeBase™ 上に構築されており、非常に便利です。

KnowledgeBase はオープンソースプロジェクト情報に関して世界で最も包括的なデータベースであり、以下を追跡することで広範なオープンソースエコシステムからデータを継続的に収集しています。

  • 100 万件を超えるプロジェクト
  • 7,500 のサイト
  • 2,300 件以上の固有ソフトウェアライセンス

KnowledgeBase と併せて、Black Duck Open Hub は 66 万件以上のプロジェクトに関する詳細情報と分析を提供します。オープンソースコードの検出および評価リソースとして、Open Hub は毎日オープンソースを利用する50 万人以上のオープンソース開発者と数百万の企業との間の重要な繋がりを提供します。

オープンソーススキャン

コードベース内のオープンソースコードの内容を正確に特定することは、オープンソースの使用および再使用を正しく管理し最適化するために不可欠です。また、コードライセンスおよび企業ポリシーの要件に準拠したライセンスコンプライアンスを保証することが重要であり、事業リスクを削減するために不可欠な手順です。

ソフトウェアプロジェクトを納期までに予算内で完成させることに集中する、買収または売却の可能性を評価するサプライイチェーンのコミットメントを評価する、あるいは社内オープンソースライセンスコンプライアンスの要件を満たすことのいずれであっても、オープンソースコードのスキャンを自動化することは下記にとって最適な方法です。

  • コードの起源を特定し、理解する
  • ライセンスを特定し、ライセンスコンプライアンスを保証して事業リスクを低減する
  • 不完全で時間のかかかる手動の作業を排除する
  • 使用されているオープンソースコード、およびその場所に対する可視性とコントロールを向上する

Black Duck® Protex™ は既存の開発ツールと統合してオープンソースを自動的にスキャンし、ソフトウェアの起源を特定して事業リスクを削減します。Express Scan 機能は、オープンソースコードスキャンにとって業界標準より80 パーセントも短い時間で、開発者に高レベルのスナップショットのコードベースを提供します。

さらに、Black Duck On Demand 監査サービスは、オープンソースをすばやくコスト効率良く特定する方法を提供し、組織内のオープンソースコードの品質を評価し、事業に関して戦略的な意思決定ができるようにします。オープンソースをスキャンすることで、適切なコンプライアンス要件を確実に整えられるようお手伝いいたします。

承認

自動化された承認プロセスでは、開発者は直ちに使用および再使用のために承認されたコードを把握でき、高品質なソフトウェアをすばやく製作し、法律、運用、およびセキュリティ上のリスクの可能性を回避できます。

円滑な承認プロセスはスピードとアカウンタビリティを向上し、難所や障害を削減します。Black Duck® Code Center™ で得られるメリット:

  • 不確実性を排除し、再使用を推進
  • ソフトウェアコンポーネントの識別を高速化
  • 開発速度を落とさずにリスクを緩和
  • シームレスなコラボレーション

インベントリを実行

企業の中で使用および承認されているコードを知ることは重要ですが、それだけでは十分ではありません。市場に出すまでの期間を短縮しながら開発者が最も革新的でセキュアなコードを記述できるようにするには、インテリジェントなコードカタログが必要です。その一つは、自動的に更新、ビルドされ、世界で最も包括的なオープンソースプロジェクトタベースと統合されており、実際、開発者が使用するほど賢さを増しています。

Black Duck® Protex™ が搭載する Rapid ID™は、コードベース内にあるオープンソースの検出と特定を自動化します。複数の分析技術を使用した Rapid ID は、オープンソースコードを自動的に検出し、「マッチング学習」機能によって社内の専門知識をすばやく簡単に把握し、よりスマートなカタログを実現し、開発者の業務をより簡単にします。

Black Duck® Code Center™ は重要なガバナンスプロセスを自動化し、オープンソースコードの検索および選択を可能にし、再使用および標準化のためにコンポーネントをカタログ化し、コンポーネントの可用性および望ましさに対して過去に例を見ない可視性を実現します。これらのプロセスを自動化することで、企業にとってソフトウェア開発ポリシーを管理 しながらシームレスなコラボレーションが可能となります。

供給

Black Duck のアプローチは、サプライチェーンを通じてエンドユーザーにお届けする製品およびコードに対して自信を持てるよう支援いたします。その方法として、顧客や社内のステークホルダーにお届けでき、簡単に消耗できる構成表 (BOM) を含めたライセンス義務レポートを提供します。

文書化および共有

Black Duck の Software Package Data Exchange® (SPDX) 標準サポートは、ライセンス情報のオープンな交換を促進し、サプライチェーンのコラボレーションを円滑に進めます。SPDX 標準はソフトウェアパッケージに関連するオープンソースのコンテンツ、ライセンス、および著作権を伝え、開発組織がより簡単にソフトウェアライセンス義務に準拠できるようになるために極めて重要です。