ソフトウェア・インテグリティ

 

シノプシスがOpenChainプロジェクトの第三者認証機関の認定取得を発表

シノプシスは、オープンソース管理フレームワーク内のセキュリティ・アクティビティの成熟度をOpenChainおよびISO/IEC 5230:2020の規格に準拠して測定するための認証を取得しました。

OpenChain | シノプシス

2021年7月4日、シノプシスは第三者認証の取得によるOpenChainプロジェクトとのパートナーシップ拡大を発表しました。シノプシスは既にサービス・プロバイダーおよびベンダーとして、オープンソースの専門知識に関するOpenChainプロジェクトの認証を取得しています。この最新の認証により、シノプシスがOpenChainプロジェクトに参加し、ISO/IEC 5230仕様に今後も準拠してゆくことが確認されました。

  • シノプシスのオープンソース・フレームワークは今後もOpenChain仕様(現行バージョンは2.2.1)への適合を継続します。
  • OpenChainおよびISO/IEC 5230:2020規格を推進する目的で、評価の際に、クライアント成果物としてOpenChainコンプライアンス評価アンケートが実施されます。

散在するオープンソース

セキュリティ/開発チームは、あらゆる業種において、大多数のアプリケーションの基盤としてオープンソース・ソフトウェアが使用されていることを認識しています。この点は、ソフトウェアとセキュリティの現状を毎年評価するシノプシスの「オープンソース・セキュリティ&リスク分析(OSSRA)」レポートでも強調されています。2021年のOSSRAでは、監査対象の1,500を超えるアプリケーションのうち、オープンソースがコードベースの75%を占めていました。オープンソース・コンポーネントのこのような存在感の大きさを考えると、適切なオープンソース管理プログラムの実装が不可欠です。

Synopsys Black Duck®は、オープンソースのセキュリティおよびコンプライアンス管理のリーダーとして、今日の最新のDevSecOps環境を補完するために必要な優れた機能、サポート、自動化を提供します。Black Duck Binary Analysis(BDBA)では、サードパーティーおよびオープンソースのコンポーネントを追跡し、既知のセキュリティ脆弱性、関連ライセンス、コード品質リスクを特定する完全なソフトウェア部品表(BOM)を速やかに生成します。また、Black Duck KnowledgeBaseでは、コンポーネント・レベルのコンテキストにより、ライセンスを特定し、法的リスクを見つけて評価することができます。

OpenChainプロジェクトとISO/IEC 5230の概要

OpenChainプロジェクトは、オープンソース・ライセンス・コンプライアンスのための国際規格を管理しています。OpenChainプロジェクトとISO/IEC 5230:2020は、高品質なオープンソース・ライセンス・コンプライアンス・プログラムの主な要件を規定し、オープンソース・ソフトウェアで構成されるソフトウェア・ソリューションを組織間でやり取りする際の信頼性を確保するためのベンチマークを提示します。

OpenChainゼネラルマネージャーのShane Coughlan氏は、「OpenChainとISO 5230はオープンソース・ソフトウェアのインジェスト、内部管理、デプロイを管理するためのフレームワークを提供します」と言います。「国際規格はオープンソース・ライセンスのコンプライアンスに主眼を置いていますが、業務上の必要に応じて他の場面でも用いられています。サプライチェーンでOpenChainとISO 5230を採用する場合はサプライヤーリレーションシップの分野に重点が置かれますが、これらの規格を製品およびサービス・パイプラインで採用することを希望もしくは必要とするお客様企業が増えています。規格の自己認証を選択する企業もあれば、第三者認証の取得を選択する企業もあります。シノプシスを全世界で3番目の第三者認証機関として迎え入れ、対象業種と選択肢を市場全体に広げられることを嬉しく思います」

OpenChainの使命は、ソフトウェア・サプライチェーンに参入している企業がオープンソースを効果的に管理するための要件を確立し、その要件や関連規定をソフトウェア・サプライチェーン、オープンソース・コミュニティ、学術界の代表者が共同でオープンに策定できるようにすることです。

OpenChainは、OpenChainワーキンググループの現在の業務を長期的にサポートするガバナンス・モデルを確立し、信頼できる一貫したコンプライアンス情報をオープンソースに提供するサプライチェーンのビジョンを推進しています。

シノプシスのオープンソース・コンプライアンス・ソリューション

シノプシスのソリューションは、オープンソースの使用およびコントリビューションに関する戦略とガバナンスを定義する効果的な監視プログラムの策定に焦点を当てています。指標やレポートと意識向上の取り組みにより、環境内のオープンソース・コードを効果的に検出、管理、レビュー、承認する能力についてお客様を評価します。外部から入手したサードパーティー製ソフトウェア、アウトバウンドの分散コンポーネントやアプリケーション、外部・内部の開発チームも評価対象になります。

オープンソース・ライセンスは、法的義務、セキュリティ脆弱性、オープンソース・プロジェクトの保守が廃止された場合のサポート管理などに影響します。シノプシスは、OpenChain規格、ISO/IEC 5230:2020、および業界標準の共通セットに準拠して、オープンソース管理フレームワーク内のアクティビティの成熟度を効果的に測定し、結果に応じた推奨事項を提示します。推奨事項は、目標とするオープンソースの成熟度実現へのロードマップを策定するために役立ちます。

 

 

この著者によるその他の情報