自動車や半導体など、モノづくりの現場で採用する企業も
日本で販売を始めて1年ほどになるが、「すでに10社以上に採用されている」と金氏。ではどのような目的で活用が進んでいるのか。第1のユースケースはリリース前の最終チェックや委託先からの納品物のチェックだ。
「例えば自動車メーカーでは、車を構成する部品コンポーネントをBOM(部品表)で管理してきました。現在はソフトウェアについても部品同様、コンポーネントを可視化して納品時に提供することが求められるようになってきています。このような場面でFOSSIDは有効に活用できます」(金氏)
第2はコードレビュー時のOSSのチェック。
「許可していないOSSが含まれていないかどうか、FOSSIDは開発者にもカジュアルに使ってもらうことができます」(今井氏)
さらにFOSSIDはJenkinsなどのCIツールと連携して、DevSecOpsを目指すといった使い方もできるという。この場合重要となるのは、事前に検出された結果をどのように処理するのか決めておくことだ。
「FOSSIDを含め、現在市場に出回っているOSSのライセンス&セキュリティ管理ツールは、このOSSは使っていい、使ってはいけないといった識別作業を人間が行う必要があります。FOSSIDでは、あらかじめ許可されたOSSをカタログ化して登録しておけるので、識別作業の手間を減らすことができます。それだけでなく、カタログ化しておくことで、OSSの再利用の活性化が図れるようになります。そのしくみができれば、OSS活用のメリットがさらに大きくなると思います」(金氏)
現在、FOSSIDのGUIは英語表記となっているが、「マニュアルはすべて日本語。またサポートはテクマトリックスが行うので、安心して採用していただけます」と金氏は力強く語る。今井氏も「サポート品質を保つためのしくみをきちんと用意し、お客さま対応に取り組んでいきます。OSS管理に初めて取り組む場合は不安に感じるかもしれませんが、OSSの利用と管理についてのトレーニングやコンサルティングサービスも用意しています。相談していただければいつでも案内することができます」と力を込める。
ライセンス&セキュリティ管理の強化を図る機能の提供を予定
今後、FOSSIDはどのような進化をしていくのか。「2つの機能強化を予定しています」と金氏。ひとつは現在、スキャンした後に人の目で識別作業を行っているが、その作業を極力ゼロに近づけるための機能の提供だ。
「お客さまの作業を減らしていくため、AIなどを使って自動識別の強化を図っていきます」(金氏)
もうひとつは脆弱性検知を強化する製品の提供。現在のFOSSIDは、コンポーネントのバージョンに基づいて脆弱性の有無を判断しているため、脆弱性を修正しても、脆弱性があると判断されてしまう問題があった。この問題を解決するため、同社では脆弱性の原因となる実際のコードをピンポイントで検出する製品「VulnSnippet Finder」を、2019年度中にリリースする予定だという。「マーケットからも非常に期待されている製品です」と金氏は語る。
OSSを正しく活用するには、もはや人の手のみでは不可能。正しく活用し、ビジネスのスピードを上げる。それを実現するための手段が、OSSライセンス&セキュリティ管理ツール「FOSSID」の導入である。ぜひ、検討してみてはいかがだろうか。