ソフトウェアのデューデリジェンスに対応する商用ソフトウェアライセンス

効果的なオープンソース監査には人手の介在が必要

コードベースでソフトウェア・コンポジション解析を実行するために利用できる自動化ツールは多数あります。シノプシスがM&A取引のための監査を実行する場合、コードベースのフォレンジック調査を行うさまざまなツールを使用し、監査人が手動で調査結果を確定または除外して結果を補足します。また、オープンソース・ソフトウェア部品表（SBOM）を作成するための業界標準に準拠し、サードパーティー商用ベンダーのコードベース内のコンポーネントを特定します。

Synopsysでは、コードベースのフォレンジックスキャンの結果を手動で検査することにより、商用ベンダーのコードを発見します。一部の商用および独自開発のコンポーネントは、広範なKnowledgeBase™を利用して特定できますが、その大部分は監査人がコードの詳細な分析を行う段階でようやく見つかります。

当社が採用している高度な文字列検索では、この分析に役立つさまざまなタイプの約200のターゲット検索パターンが用意されています。また、さまざまなバイナリファイル形式のメタデータを検索することもできます。これらの手法により、自動化では見落とされがちなオープンソース・コンポーネントを発見し、ファイル内の会社の著作権とエンドユーザー・ライセンス契約（EULA）を見つけることも可能です。

このような商用ソフトウェアの兆候が見つかると、監査人は対象コードの提供元はどの企業かを調査します。スキャン結果のレポートは、情報を利用しやすいようにカテゴリ別に分類されます。レポートには、カスタマイズされたライセンスと非標準ライセンスのコンポーネントを含む「要調査」カテゴリが含まれています。これにより、レビューが必要なライセンスに焦点が当てられ、どのような修正作業が必要になるかを法務チームが理解する上で役立ちます。

デュアルライセンス・コンポーネントは、オープンソース・コードと商用コードの中間のコンポーネントカテゴリです。これらのコンポーネントは相互ライセンスまたは商用ライセンスの下で提供されます。このことが興味深い影響を及ぼす可能性があります。今後のブログでこのコンポーネントの分類をテーマにした投稿をご紹介する予定ですが、要するに、買収対象企業は商用ライセンスを持っているか、非商用のオープンソース・ライセンスに準拠している必要があります。

商用ソフトウェアの発見が重要な理由

買収対象企業は、知り得る限り、コードベースで採用している商用ソフトウェアを開示しますが、多くの場合、買収対象企業にとっても想定外のコンポーネントが見つかります。これらのコンポーネントは再配布可能なコンポーネント（再配布条件に準拠している場合に使用できるコンポーネント）であることが多く、買収側は該当条件が遵守されていることを確認する必要があります。その他の商用コンポーネントでは、商用ライセンスが購入されていることを確認するために追加調査が必要になる場合があります。

シノプシスが検出した商用ソフトウェアの種類

見つかった商用コンポーネントには、オープンソース・ライセンス・オプションがあるものや、互換性のあるライセンスでオープンソース・プロジェクトに貢献しているものもあります。私的使用および非商用目的のオープンソース・ライブラリもありますが、ターゲットのソフトウェアで使用する場合は許可または商用ライセンスが必要です。サードパーティー製のフォントも一般的に使用されており、独自開発のソフトウェアと同様にEULAへの準拠が必要です。

製品で使用される商用ソフトウェアの条件に準拠することは、コードベース内のオープンソース・コンポーネントのライセンス要件を理解することと同程度に重要である、という話をサードパーティーの法的パートナーからよく聞かされますが、その考え方が広がり、監査で文書化されたサードパーティー製商用コンポーネントにも同等の関心を持つ顧客が増えることが期待されます。完全なSBOMを作成するためには、商用ソフトウェアを発見するためのツールと専門知識を備えた監査サービスを利用することが不可欠です。