オープン ソース ソフトウェアを現場で使う前に確認しておくべき 7 つの項目

貴社ではオープン ソース ソフトウェアを安全で使える体制が整っていますか。ここからは、チームとコードの安全を守るうえで確認しておくべき 7 つの項目について紹介します。

1. 開発者が新たなオープン ソース ソフトウェア (OSS) を組織にスムーズに導入できる承認プロセスは設けられていますか?

OSS コードの量を常に把握しておくために、OSS を使用しながら自社のポリシーを守るためのオープン ソース プログラム オフィスを多くの大規模組織が設置しています。自社の法務部と協力しながら、OSS プロジェクトに貢献するための公式な承認プロセスを設けましょう。

2. プロプライエタリ ソフトウェアで使用できる OSS を開発者が把握できる、事前承認済み OSS ライセンスのリストは作成されていますか?

オープン ソース ライセンスは、プロプライエタリ ソフトウェアも含めて OSS プロジェクトを表示、使用、変更、配布する方法に関するルールとガイドラインを定めるためのものです。オープン ソース ライセンスがあることで、プロプライエタリ コードで OSS が一切使用できなくなるというわけではありません。アプリケーションの目標と組織のポリシーに合った適切なライセンスが使用している OSS にあることを確認するのが目的です。

3. 自社で使用することになるオープン ソース プロジェクトの依存関係、ライセンス、その他の重要な情報は容易に監査できますか?

自社のコンプライアンス ポリシーを無視しても、将来的に脆弱性やライセンスの問題が起きることになるだけです。承認に必要なステータスやその他のコード チェックをプロセスに組み込むことで、今すぐコンプライアンス ワークフローを自動化しましょう。

4. チームには脆弱性のあるコンポーネントを特定して修正するための計画とツールが用意されていますか?

新規ソフトウェア プロジェクトのうち、最大で 70% がオープン ソース コードに依存しています。コードを再利用することで誰もが質の高いソフトウェアを短期間で開発できますが、セキュリティの脆弱性をさらけ出すリスクを負うことにもなります。脆弱性を特定して脆弱性を含むコードを迅速に修正できるツールを必ず開発者に用意しておいてください。

5. 機密性が極めて高い情報が誤ってパブリック リポジトリにプッシュされてしまわないよう、トークン スキャンなどのツールを使用していますか?

最もセキュリティ意識が高い組織でさえ、いずれはミスを犯します。共有されたコミットをスキャンし、侵害される前に認証情報を先回りで無効化するツールで、機密情報がチームから誤って漏洩するのを防ぎましょう。

6. 組織内で安全に使用できる、ソフトウェア パッケージ用プライベート レジストリはありますか?

オープン ソース パッケージを利用する際には、コードを信頼して理解することが重要になります。パッケージ レジストリを使用することで、組織のリポジトリに対して承認されたものをスピーディに見つけられるだけでなく、ソース コードと同じ安全な環境にパッケージを簡単に保存できます。

7. ユーザーの身元を検証することで、自身のチームだけがプロジェクトにコードをコミット (署名済みコミットも含む) できる手段はありますか?

オープン ソース コードを使用して開発を行うということは、数千人にも及ぶ社外の開発者を自分のチームに招き入れることになります。公開プロジェクトと非公開プロジェクトのどちらでコラボレーションを行う場合でも、ID プロバイダーと協力して組織の特定のコミットとタグを必ず検証してください。

7 項目の確認結果はいかがでしたでしょうか。

回答が「いいえ」や「おそらく」になったものがあった場合は、オープン ソース ソフトウェアを使用する前にセキュリティ上の変更が必要になる可能性があります。