業界特化型 技術・製品情報サイト
  • MONOist
  • EE Times Japan
  • EDN Japan
  • スマートジャパン
  • BUILT

テクマトリックス株式会社

製品資料

テクマトリックス株式会社

OSS利用のコンプライアンスリスク解消に、「オープンソースSBOM」が必要な理由

コンテンツ情報
公開日 2021/09/09 フォーマット PDF 種類

製品資料

ページ数・視聴時間 10ページ ファイルサイズ 658KB
要約
 OSS(Open Source Software)は誰でも利用できるが、ライセンスを順守しなければソフトウェア開発に組み込むことはできない。逆に言えば、ライセンスを正しく理解し、OSSがどこに使われているのかを把握することで、コンプライアンスリスクの解消、開発スピードの向上、コスト削減などが可能になる。

 そこで重要となるのが、自社内だけでなく、下請け業者も含め幅広く管理することだ。部品表のソフトウェア版である「SBOM」(Software Bill of Materials)のうち、OSSの取り扱いに限定した「オープンソースSBOM」を用いれば、双方にとって分かりやすい形での管理が可能となる。

 本資料ではオープンソースSBOMの必要性を説くとともに、その作成方法としてSPDX Lite形式の活用を提案している。併せて、さまざまなプログラミング言語に対応し、コードの派生元であるオープンソースを高速スキャン・特定するOSSライセンス&セキュリティ管理ツールについても紹介する。