システム開発で思うところ

Javaで主にシステム開発をしながら思うところをツラツラを綴る

オープンソースの脆弱性で不正アクセス、その責任は誰が負うのか?に参加してきました

オープンソースの脆弱性で不正アクセス、その責任は誰が負うのか? - マジセミ(参加者の役に立つ”本気”の情報提供セミナー) | Doorkeeper

ライセンスのこととか、ちゃんと聞く機会を設けることが大事だと思って参加してきました。

所用で5分ほど遅刻してしまいました。

さらっとメモ

オープンソースライセンスの類型化から見える法的リスク

  • 開発を外部に発注しても、最終責任は発注者になるので「知りませんでした」では済まされない

  • 表に出ていないだけで指摘を受けてリリース前に改修しているケースも

  • 動的リンクの場合でもGPLLGPLに従う必要あり、というのが公式回答

  • 著作と特許は別。特許について明記しているライセンスとそうじゃないライセンスがあるので注意を。OSSはコードが公開されているので侵害立証が容易。

  • 契約書に明示されていなくても当時の技術水準で対策を施すことが可能であるということで賠償することになった事例あり。IPAによる広報(セキュリティ対策のこと。SQLインジェクションはダメだよ、とか)が開発以前に出ていたことが根拠に使われた。債務不履行・重過失。想定以上にあっさり判決が出たという印象*1

  • Reactの問題となったBSD+パテントライセンスはOSSとしてNG。今は(V16から)ReactMITライセンスになっています。

  • さらっと凄いことを書いていたりするので原文は必ず目を通しましょう。

閉域接続で運用するIoTとOSSの密接な関係

  • 閉域接続って知らなかった。VPNのようにインターネットを介するのではなく、電話回線から直接閉域サービスへ接続する。

  • SIMによるDDOS攻撃って知らなかった。クライアントを落として何が嬉しいんだろうと思ったら、パケット量請求という詐欺行為が目的だった。えぐいなぁ。

  • CM的な感じはあったけど、知らないことが多かったし、SIM一枚から契約できるし(最低ランクだと月300円)、安全なIoTネットを考えるなら良いかもって思った。カード1枚から契約可能。

ツールを活用してソフトウェア開発の品質・生産性を向上する秘訣

  • 主催者のスポンサー枠的な感じ

OSS 使うとリスク!ってホント?!OSS と上手に付き合ってDevOpsを実現!

  • WhiteSourceの販売と、日本での導入会社さん(株式会社マインド)の話

  • 使用しているOSSのライセンスと脆弱性をチェックするサービス

  • コードをアップするのではなく、使用しているOSSの情報をハッシュにして送信する*2

  • オフラインでも使える。送信するのがハッシュ情報だけなので、オフラインで取得してハッシュ情報だけをネット環境に持っていけばOK。

  • 日本に上陸したのは2017年9月なので遅いけど、OSSライセンスと脆弱性を扱う会社としては古参。

  • 開発元はイスラエルの会社

  • コードの脆弱性を診断するのではなくて、CVEなどのOSSセキュリティ情報と使用されているOSSのマッチングによる診断。なのでOSS情報のハッシュだけあれば良い。逆にいうと、脆弱性診断ツールではないので勘違いしないこと。

  • OSS公式HPに乗る前の情報でも開発元として入手していてチェックしてされるケースもあり。この辺りは古参ソフトならではの情報収集というところ。

  • MosP*3で実施したら、公式HPにないものが検出されて、、みたいなことがあった。あと、いつの間にか使用しているOSSのライセンス条項が変わっていて競合が発生して改修することになった。でも気が付かずにリリースしていたら、、と思うと恐ろしい。

  • CVEじゃなくてWSっていう識別子が点いている場合は、WhiteSourceが独自に検出した脆弱性の識別子。つまり第三者報告を二次利用するだけでなく独自に診断情報を収集もしているということ。

  • 主要な言語は全て対応している。

  • 評価版もございます。

  • 今後、納品にあたってOSS一覧とあわせて、その脆弱性診断状況が納品条件になりうる可能性に備える際に有効な選択肢です。

  • OSS検査レポートサービスを始めたので、興味がある方はお問い合わせくださいませ OSS検査ツール/レポートサービス | 勤怠管理・人事給与システムのスペシャリスト|株式会社マインド

感想など(主にWhiteSourceに関して)

  • ライセンスに関する知見を得られて非常に有意義な時間を過ごせました(これは全体的な感想)。

  • お値段は最低利用で年間100万未満。決して安くはないけれど、Webサービスやパッケージ開発をしているのであれば必要コストだと思う。少なくとも同様のことを人間が確実にやることを想定したら月10万分の工数では無理。

  • maven使ったら、使用ライブラリと そのバージョン一覧を作ることは出来る(できるはず)。でも月10万の予算で膨大な脆弱性情報の確認まで含めると、それは無理だと思う。素直にツールを使った方が良い。

  • WhiteSourceの売り方について、個人的に思うところとしては、日本だったらベンダーが付加価値をつける名目でコストをかけて自己診断するツールとして営業するよりも、ユーザーによる品質評価ツールになりうるものとして営業した方がよさそう。弁護士さんの話でもあったけどライセンスによる賠償責任は発注者にとってもリスクだから。んで、ユーザー検収でNG出されたら、手戻りコストが半端ないのでベンダーが必要経費として自分達でも購入するという流れ。

  • アジャイル万歳で「動くものが正義」に、ライセンス意識が低い開発会社が重なることによるリスクを早めに摘み取るためにも使えるし、使った方が良い。例えばオフショアとかだと「コレ ベンリ」と勝手にライブラリを追加していたりするリスクを仕組みとしてチェックすることは大事。規約や口頭ルールで規律を求めるよりも、ツールで診断するという方が お互いのために良い。

  • MopSはOSSとのことなので、色々と落ち着いたらちょっとコードを見てみようかなぁと思ったり思わなかったり

*1:本当にこれで大丈夫なの?という雰囲気を感じました

*2:コードが外部に送信されるわけではないので安心

*3:株式会社マインドの勤怠管理システム