機能紹介
機能紹介 - OSS/SCA・SBOM
「どこで、どのOSSが、どのバージョンで使われているか」を 継続的に可視化・自動化
Aikido SecurityのOSS/SCA・SBOM機能は、ソースコードや依存関係ファイルを解析し、利用しているOSSコンポーネントとそのバージョンを自動的に把握したうえで、CVE情報やライセンス情報と紐づけて管理できるようにするものです。
ソフトウェアの開発・運用において「どこで、どのOSSが、どのバージョンで使われているのか」を把握することは、脆弱性対応やライセンスコンプライアンス、ソフトウェアサプライチェーンリスク対策の出発点となります。
Aikido Securityは、この“見える化”と“継続的な更新”を、自動化された形で実現します。
OSSコンポーネント・依存関係の自動検出
ソースコードと依存関係情報から、自動的にOSS構成を抽出
- リポジトリ内のソースコードや、各種パッケージマネージャの依存関係ファイル(例:package.json、pom.xml など)を解析し、利用しているOSSコンポーネントとそのバージョンを自動的に抽出します。
- 直接利用しているライブラリだけでなく、その奥にぶら下がる「間接依存関係」も含めてリスト化されるため、手作業では把握しづらい構成まで可視化することができます。
プロダクト/サービス単位での把握が可能
- 各リポジトリを「製品」「サービス」「案件」など、お客様の運用に即した単位に紐づけることで、「このプロダクトでは、どのOSSが使われているのか」を一目で確認できます。
- 将来的にプロダクトラインアップが増えた場合も、同じ仕組みでOSS構成を追跡することができます。
SBOMの自動生成と更新管理
SBOM(Software Bill of Materials)の自動生成
- 抽出したOSSコンポーネント情報をもとに、SBOM(Software Bill of Materials)を自動生成します。
- SBOMフォーマット(例:SPDX/CycloneDX など)への対応状況に応じて、取引先や顧客に提供可能な形で出力できます。
- 「どの製品が、どのコンポーネントで構成されているのか」を一覧化することで、ソフトウェアサプライチェーン全体の把握に役立ちます。
継続的な更新とバージョン差分の管理
- リポジトリや依存関係が更新されるたびに、SBOMも自動的に再生成・更新されます。
- あるバージョンから別のバージョンへアップデートした際に、OSS構成がどう変わったかを比較することも可能です。
- 「最新バージョンでは、どの脆弱性が解消されたのか」「新たにどのコンポーネントが追加されたのか」などを追跡できます。
CVE・ライセンスリスクの可視化と優先度付け
CVE情報との紐づけによるリスク把握
- 抽出されたOSSコンポーネントとバージョン情報を、既知のCVEデータベースと照合し、どのコンポーネントに、どのような脆弱性が存在するかを可視化します。
- 重大度(CVSSスコアなど)や公開日、エクスプロイトの有無などの情報にもとづき、優先的に対応すべき項目を把握することができます。
ライセンス情報の確認とコンプライアンス支援
- 各OSSコンポーネントのライセンス情報を取得し、ライセンス条件の確認やコンプライアンス上のリスク把握を支援します。
- 特定のライセンス(例:GPL系ライセンス)の利用有無を確認したい場合にも、SBOMやレポートを通じて一覧性の高い形で確認することができます。
優先度に応じた対応計画の立案を支援
- 重大度・影響範囲・利用箇所などの情報を組み合わせることで、「どのプロダクトの、どのコンポーネントから対応すべきか」を整理しやすくなります。
- Aikido Security全体のダッシュボードと組み合わせることで、他の領域(アプリケーション/クラウドなど)を含めた優先度付けも可能です。
製品・案件単位での管理とレポーティング
プロダクト/案件ごとのビュー
- 製品・サービス・案件などの単位ごとに、OSS構成・脆弱性・ライセンス状況をまとめて閲覧できます。
- PSIRTや製品セキュリティ担当者が、担当プロダクトのリスク状況をすばやく把握し、開発チームや事業側と連携しながら対応を進めるためのベースとして活用できます。
レポート出力と社内外への共有
- SBOMや脆弱性・ライセンス状況をレポートとして出力し、社内の関係部門や、顧客・パートナーへの説明資料として利用できます。
- 監査やセキュリティ質問票に対して、「どのコンポーネントにどのような対応を行っているか」を客観的な情報にもとづいて回答しやすくなります。