リスクを低減するためのクラウド型OSS管理ツールOpenLogic および Zend PHP

1© 2015 Rogue Wave Software, Inc. All Rights Reserved. 1
リスクを低減するための
クラウド型OSS管理ツール
OpenLogic
および Zend PHP
ローグウェーブソフトウェア
柄澤良和 (からさわよしかず)

会社紹介

ローグウェーブ

ローグウェーブ製品紹介
• 大規模ライブラリ
– 数値計算・統計ライブラリ IMSL
– C++開発支援ライブラリ SourcePro
– 大規模GUI構築ライブラリ
Visualization
• 小粋なツール
– インタラクティブなデータ可視化
PV-WAVE
– MFC/.NET拡張 GUI作成ライブラリ
Stingray
• 動的、静的解析ツール
– HPC向け並列デバッガ TotalView
– GUI並列デバッガ CodeDynamics
– 静的コード解析 Klocwork
• オープンソース
– OSSリスク管理 OpenLogic
– PHP コア技術および開発支援 Zend
• ローグウェーブ、1987年 tools.h++ 米国コロラド州ボルダー近郊
– 開発者支援のツールを開発/販売
– 開発をシンプルに安全で高品質のコードをすばやくお客様のもとへ

日本語ウェブサイト
http://roguewave.jp
本社英語ウェブサイト
http://roguewave.com

ブログ
http://blog.roguewave.jp
Twitter
@RWSJapan

OSC2015 .Enterprise in 渋谷

Agenda
• 会社紹介
• OSSの魅力とリスク
• OSS管理をする必要性
• OLEX
– クラウドによるOSS管理ポータル
– Deep Discovery スキャン技術
– 技術サポート、その他
• PHPとZend製品
• まとめ

OSSの魅力とリスク

• Gartnerの予測: 2016年までに, 99 %のGlobal 2000 企業がミッションクリティ
カルなソフトウェアでOSSを使用することになる
• It’s everywhere. 携帯電話からテレビ、人工衛星、ミッションクリティカルな企
業システムまで
• イノベーション
– 幅広いコードの選択肢
– 様々な開発者、環境、フレームワーク、任意の組み合わせ。
– 開発のリソースや時間を最適化
– 車輪の再発明からの脱却
• 品質
– 納期に縛られない、多くの眼
• コストや配置の柔軟性、自由、入手しやすさ
• ベンダーロックインからの解放

• OSS/FOSS/FLOSS
• It’s Free!
– フリーは無償でなく自由
– 利用可能とコストがかからないのは違う
– オープンソースの使い方が問題
• リスク
– 入手は容易で無償、すばやく市場へ展開できるが、OSSを安全に使う
ための理解を深める必要がある。
– セキュリティ、法的(コンプライアンス)、技術、ビジネス
– 管理方法の確立 (できれば容易で効率的な)

ライセンス違反
• コピーレフト
– 複製、改変、使用は自由
– 第3者提供(利用)に制限
– 著作権侵害(民事だけでなく刑事も)
• GPL 違反
– Cisco、東芝、Elecom、VMWare、
MS、…
• Apache、BSD、MIT、…
– 制限の緩いApacheでもライセンス文
のコピーが存在しない、など

セキュリティ脆弱性
• 多くの開発者や利用者が関わっていても問題は起こる
– Heartbleed on OpenSSL
– shellshock on Bash
– POODLE on SSL 3.0
• 最近も続々と
• 自分のプロジェクトに関係
あるのか？どうすればよい？

ビジネス上のリスク
• ミッションクリティカルな
– ソフトウェアを期限内に納入
– 運用中のシステムにトラブル、予期しない動作
• 提供した商品にライセンス違反があった場合、買い手に「も」損害
– 製品展開の遅延、信用の失墜、損害賠償
• 多数のOSSに対する専門知識と人材をどう確保するか
– 情報の多くは「無料で」手に入るし対応できるが…

OSSだけが悪いのか？
• 商用も同様のリスク
• ただしOSSは入手がしやすく使いやすい
– メリットが裏目に

管理の必要性

管理の必要性
• OSSには様々なメリットがある
• しかし懸念材料も
• しっかりと管理することによって安全に価値を引き出す

レストランのたとえ
• 料理が好きで得意
– 新鮮なもの、おいしいもの、便利なもの、半加工品
• レストランを開きたい
• 食材の表示
– 栄養、アレルギー
– 菜食主義
– 食品衛生法
– 偽装
• 調理師免許、条例
– 河豚の肝、生レバー
• ハラール
– 食べても構わないもの。認証
– 宗教、習慣、文化、ポリシー

レストランのたとえ
• 販売・提供に対する規制
– 自分だけで食べるなら…
• 第3者に提供する場合には責任が伴う
– 入手した食材の中身を把握していますか？
– どの料理にどの食材が入っていますか？
– 適切な方法で調理をしましたか？
– あなたにその調理の権限はありますか？

OSS管理の必要性
• いつ？管理のタイミング
– M&Aのリスク査定
– COTS利用、OEMでサプライヤーから受領する時
– いつでも、定期的に。CI(継続的インテグレーション)
– 新しいプロジェクト開始、新しいOSS利用
• 大量のOSSを少人数で管理できない
• 脆弱性情報や重要な更新が発表されたとき、どのように気づくか？
• どこから？混入の経路
– コミュニティサイトからのダウンロード
– サプライチェーン、内部での開発、過去のコードの再利用、サードパー
ティのコード
– 善意、うっかり、

管理の方法

具体的にどのように管理すればよいのか
• 在庫の調査
– 自己申告、アンケート？
• 管理
– スプレッドシート？
• ポリシーの作成
– 個々のOSSやライセンスに細かいルールをいちいち作っていられない
• コードベース内のOSSを洗い出し、バグやセキュリティ脆弱性、ライセン
ス違反などの危険から解放する
• 組織内にOSS使用法のコントロールを浸透させる
• OSSのリスクを減らすために、管理用のOSSツールや静的/動的コード解析
を用いる

組織内でのオープンソース管理
• 使用状況の把握
– セキュリティの脆弱性にすばやく対応
– 知的財産の訴訟リスクを最低限に抑える
• 正しい使い方の知識
– 開発を進めていくために正しい判断
– 製品をスケジュール通りにリリース
– 技術的問題、ライセンスモデル、セキュリティ上の問題
• リスク管理、ガバナンス
– ポリシー作成、承認・申請手続き
• サポート
– 企業製品同様の専門的で迅速なサポート

Step 1: Define
ポリシーを作成する
– 必要性を調査する
– セキュリティ、保守性、サポートやトレーニングなど
– 内部利用か価値を外部に提供するのか
– 利用しているサプライチェーンについて
• サードパーティ製のソフトウェア
• 開発を外部委託した場合
ガバナンス
– 商用利用や取扱い製品についてのガイドライン
– 取得と許可のポリシー、ワークフロー
– オープンソースのコンプライアンス、レビューの担当者を設置
– OSS監査やコンプライアンスについて文書作成
– 業界やサプライチェーンに課せられる義務

Step 2: Discover
プロジェクト内に何があるか
– OSSの使用状況
– ライセンスやコンプライアンス: 二次利用、コピーレフトの強さ
– オープンソース内のオープンソースに注意
アプリケーション内のオープンソース
– 埋め込まれたOSSプロジェクト、ファイル、コード断片
– バイナリとソースコード双方をスキャン
– 状況に応じてリアルタイムに更新
– ライセンスやコピーライト/レフト情報を明らかにする
公開と義務条項を判断する
– リスクに備えて現在のオープンソースの在庫を分析する
– 内部利用と外部利用のポリシー、法令遵守

Step 3: Deploy
現状をオープンソース査定
– ベースラインと現状の差分スキャン
– 継続的インテグレーション(CI)と継続的ビルド
– 安全なオープンソースリポジトリ
– オープンソースのポリシーとコンプライアンスを反映
– バージョンアップやセキュリティ更新に対して積極的にアプローチ
サポート、メンテナンス
– セキュリティリスクと更新情報をモニター
– 誰があなたのオープンソースコードの面倒を見るのか？
– 継続的な開発 – 組織変更などがあったとしても
– 製品開発の下流側でITアプリケーションの利用状況と管理

管理システムの条件
• 柔軟性、堅牢性
– 組織ごとの特性、ワークフロー
– メンバーの異動など様々な状況変化
– 開発拠点の多様化。地理的分散
• 容易さ
– 少人数で大規模なシステムを管理
– システム用のハードウェア/ソフトウェアをメンテナンス
– 常に最新のデータベース
– 自動化、継続的インテグレーション

OpenLogic OLEX

OpenLogicとは
• Founded by Rod Cope in 1998
• 2013年秋にローグウェーブに合流
• OSSに関するリスク管理
– 安心してOSSの魅力を活用できる
• SaaS(クラウド)の管理ツール OLEX
– すぐに開始、柔軟でスケーラブルな運用
• ガバナンス
– スキャン、ライセンスのコンプライアンス、認証済みライブラリ
• Audit (監査)、サポート、CentOS、AzureやAWS
• 適用業界
– リスクプロファイルを扱う金融
– コンプライアンスが重要なソフトウェアベンダー
– M&A活動

OpenLogic OLEXの不思議
• すぐにサービスを始められます。
• どんなOSSがコードベースのどこにあるのかを洗い出します。
• そのOSSの種類や使用箇所をクラウド上で示します。
• 開発中のコードは組織の外に出ることはありません。
• ソースコードのどの部分がOSSを使っているのか比較して示します。
• どうやって可能なのか？

OLEXによるOSS管理
• コードは指紋情報としてハッシュ化かつ暗号化されて送信されるため、知財情報が外部に出ることはありません。
• クラウドで一元管理されているため、柔軟なポリシー設定や運用が可能です。開発拠点が分散していても一括管理できます。

Deep Discovery スキャニング
1. OLEXからJavaアプリを
ダウンロード
2. フォルダを指定してス
キャン
3. 暗号化された結果がバッ
クグラウンドでOLEXへ
4. OLEX上で結果を表示

Deep Discovery スキャニング
• コードは組織から外には出ないがOSSを検出
• ハッシュ化、暗号化、安全なデータセンター
• 少ないノイズでかつ高速に、安全に
• 多くのオープンソース技術を使用
• たとえば
– 単語がデータベースに存在するかどうか高速にチェックするフィルタ
– クラスタリングや件数表示を行う検索システム
– 分散ストレージシステム
• コードを外部に出さずにOSSの所在を確定するためのトリック

クラウドの利点
• 常に最新のデータベースとプラットフォーム
• インストール不要ですぐに開始できる
• ハードやセキュリティなどの管理の手間が不要
• 拠点が分散していても使える
• セキュア
• 最新のデータベース

自動化
• RESTfulなAPI
• xml, jsonでやりとり可能
– パッケージのバージョン情
報、脆弱性情報などを取得
• 豊富なドキュメント(ログインが
必要)

スキャン結果
OSSの在庫一覧
サマリー表示
ツリー表示
リスト表示

スキャン結果
セキュリティ脆弱性リスク

ポリシーの設定
柔軟性:
• ホワイトリスト
• ブラックリスト
• 申請の承認
許可/却下するライ
センスやパッケー
ジを調整

申請のワークフロー
申請理由
管理者が許可/
却下

スキャン実行
• 設定
• 対象フォルダを指定
• 結果を待つ

スキャン結果サマリ
脆弱性情報
検出された
OSS
検出されたライセンス
OSS ライセンス義
務

脆弱性情報 (NVD Alerts)
NVD情報のある
パッケージを
ハイライト
ワンクリックで
脆弱性情報の
詳細を表示

ライセンス使用状況
ポリシーに
抵触
ライセンス
違反

サポートダッシュボード
様々なレベルの
サポート
ダッシュボード
からサポートの
依頼が可能
オープンな
チケットの状況
を確認

サポートチケットのワークフロー
連絡先詳細
パッケージと
バージョン情報
実行環境
問題点、深刻度
添付ファイル

コードの比較
• OSS情報はOLEX上
• コードは組織から
出ていない
ユーザーのコード検出されたOSS

Audit (監査)
• 在庫調査
– アンケート
– 専門家によるスキャン
• 使用状況を解説
– 含まれているOSSの明細
– ライセンスの種類、規約
– 使用方法やポリシー作成を
アドバイス
• ガバナンス導入のための最初のステップ

OSS技術サポート、コンサルティング
• 使用頻度の高い数百のOSS製品に対して企業レベルのサポート
– Apache、Tomcat、JBoss、MySQL、ActiveMQ、PostgreSQL、
CentOS
• Tier 2/3 の専門家(技術、アーキテクチャ、システム管理)が直接対応
• プロフェッショナルサービス
– アーキテクチャのレビューや移植の助言、主要製品の使用方法へのト
レーニング
– 性能チューニング、アーキテクチャのレビュー
– 製品のアップデートや脆弱性の情報はOLEXに掲載
– 定期的に通知するサービスも付属

サポート on Azure & AWS
Support for Linux images
in Microsoft Azure
• すぐに使用できるスタック
(例: CentOS + MySQL)

OpenLogic

話題は変わって

elePHPant

PHP
• OOPの汎用スクリプト言語
– PHP: Hypertext Preprocessor (もとは Personal Home Page)
– オープンソース
• HTMLに直接埋め込み可能
• 1995年今年で20年
– JavaScript、Rubyと同年
• 最も広く使われているサーバサイド言語
– MediaWiki、PukiWiki、phpBB、
– WordPress、Drupal、Magento

PHP
ウェブ開発で根強い人気

PHP
• PHP7.0リリース! 12月3日
– PHP 5.6 が2014年8月
– PHP 5 in 2004以来最大の変更
– php 6 はスキップ
• PHPNG (Next-Gen)エンジン採用
– 2倍高速、実アプリで25%-75% 高速化
– メモリ消費50%

PHPは危険？
2007年頃、IPAの「セキュアプログラミング講座」 2015年現在、IPAの「セキュアプログラミング講座」

Zendの製品
• 創設者 Andi GutmansとZeev Suraski
オープンソース
• PHP NG engine (core of PHP 7)
• Zend Framework 3
– PHPの中核
• Apigility
– Web API構築
– RPC、RESTful
• Eclipse PDT for PHP
(#1 OSS IDE for PHP)

Zendの製品
商用
• Zend server
– PHPの実行、ウェブサイトのステージング、デプロイ、クラスタリング
– 継続的インテグレーション
• Z-ray
– Zend Serverのプラグイン。X-rayゴーグル。
– モニタリング、プロファイル、デバッグ
• Zend Guard
– 商用製品のためのセキュリティ。難読化、ライセンス管理機構
• Zend Studio
– PHP IDE
– デバッグ、モバイル用サイト
– Docker、Git、PHP7移行
– AWS、Azure

まとめ
• OSSと商用製品の違い
– ない。よいものはよい、悪いものは悪い
• 入手や個人利用は無償
– ただし商用サービスや開発支援の製品を使うほうが正しくかつ効率的
に結果を出せる
• OSSか商用かにこだわらず、結果に役立つ良いものを選び使いましょう。
ローグウェーブはどちらも提供します

会社紹介、製品紹介
• 大規模ライブラリ
– 数値計算・統計ライブラリ IMSL
– C++開発支援ライブラリ SourcePro
– 大規模GUI構築ライブラリ
Visualization
• 小粋なツール
– インタラクティブなデータ可視化
PV-WAVE
– MFC/.NET拡張 GUI作成ライブラリ
Stingray
• 動的、静的解析ツール
– HPC向け並列デバッガ TotalView
– GUI並列デバッガ CodeDynamics
– 静的コード解析 Klocwork
• オープンソース
– OSSリスク管理 OpenLogic
– PHP コア技術および開発支援 Zend
• ローグウェーブ、1987年 tools.h++ 米国コロラド州ボルダー近郊
– 開発者支援のツールを開発/販売
– 開発をシンプルに安全で高品質のコードをすばやくお客様のもとへ
お問い合わせは sales@roguewave.jp へ

OSC2015 .Enterprise in 渋谷

質疑応答

リスクを低減するためのクラウド型OSS管理ツールOpenLogic および Zend PHP

More Related Content

What's hot

Similar to リスクを低減するためのクラウド型OSS管理ツールOpenLogic および Zend PHP

リスクを低減するためのクラウド型OSS管理ツールOpenLogic および Zend PHP