会社紹介 - ospn– ossリスク管理openlogic – php コア技術および開発支援zend •...

1

1© 2015 Rogue Wave Software, Inc. All Rights Reserved. 1

リスクを低減するためのクラウド型OSS管理ツールOpenLogic および Zend PHP

ローグウェーブソフトウェア柄澤良和 (からさわよしかず)


会社紹介

2


ローグウェーブ


ローグウェーブ製品紹介

• 大規模ライブラリ

– 数値計算・統計ライブラリ IMSL– C++開発支援ライブラリ SourcePro– 大規模GUI構築ライブラリ

Visualization

• 小粋なツール

– インタラクティブなデータ可視化

PV-WAVE– MFC/.NET拡張 GUI作成ライブラリ

Stingray

• 動的、静的解析ツール

– HPC向け並列デバッガ TotalView– GUI並列デバッガ CodeDynamics– 静的コード解析 Klocwork

• オープンソース

– OSSリスク管理 OpenLogic– PHP コア技術および開発支援 Zend

• ローグウェーブ、1987年 tools.h++ 米国コロラド州ボルダー近郊

– 開発者支援のツールを開発/販売

– 開発をシンプルに安全で高品質のコードをすばやくお客様のもとへ

3



日本語ウェブサイトhttp://roguewave.jp

本社英語ウェブサイトhttp://roguewave.com



ブログhttp://blog.roguewave.jp

Twitter@RWSJapan

4


OSC2015 .Enterprise in 渋谷


Agenda

• 会社紹介

• OSSの魅力とリスク

• OSS管理をする必要性

• OLEX

– クラウドによるOSS管理ポータル

– Deep Discovery スキャン技術

– 技術サポート、その他

• PHPとZend製品

• まとめ

5


OSSの魅力とリスク



• Gartnerの予測: 2016年までに, 99 %のGlobal 2000 企業がミッションクリティ

カルなソフトウェアでOSSを使用することになる

• It’s everywhere. 携帯電話からテレビ、人工衛星、ミッションクリティカルな企

業システムまで

• イノベーション

– 幅広いコードの選択肢

– 様々な開発者、環境、フレームワーク、任意の組み合わせ。

– 開発のリソースや時間を最適化

– 車輪の再発明からの脱却

• 品質

– 納期に縛られない、多くの眼

• コストや配置の柔軟性、自由、入手しやすさ

• ベンダーロックインからの解放

6



• OSS/FOSS/FLOSS

• It’s Free!

– フリーは無償でなく自由

– 利用可能とコストがかからないのは違う

– オープンソースの使い方が問題

• リスク

– 入手は容易で無償、すばやく市場へ展開できるが、OSSを安全に使う

ための理解を深める必要がある。

– セキュリティ、法的(コンプライアンス)、技術、ビジネス

– 管理方法の確立 (できれば容易で効率的な)


ライセンス違反

• コピーレフト

– 複製、改変、使用は自由

– 第3者提供(利用)に制限

– 著作権侵害(民事だけでなく刑事も)

• GPL 違反

– Cisco、東芝、Elecom、VMWare、MS、…

• Apache、BSD、MIT、…

– 制限の緩いApacheでもライセンス

文のコピーが存在しない、など

7


セキュリティ脆弱性

• 多くの開発者や利用者が関わっていても問題は起こる

– Heartbleed on OpenSSL

– shellshock on Bash

– POODLE on SSL 3.0

• 最近も続々と

• 自分のプロジェクトに関係

あるのか？どうすればよい？


ビジネス上のリスク

• ミッションクリティカルな

– ソフトウェアを期限内に納入

– 運用中のシステムにトラブル、予期しない動作

• 提供した商品にライセンス違反があった場合、買い手に「も」損害

– 製品展開の遅延、信用の失墜、損害賠償

• 多数のOSSに対する専門知識と人材をどう確保するか

– 情報の多くは「無料で」手に入るし対応できるが…

8


OSSだけが悪いのか？

• 商用も同様のリスク

• ただしOSSは入手がしやすく使いやすい

– メリットが裏目に


管理の必要性

9


管理の必要性

• OSSには様々なメリットがある

• しかし懸念材料も

• しっかりと管理することによって安全に価値を引き出す


レストランのたとえ

• 料理が好きで得意

– 新鮮なもの、おいしいもの、便利なもの、半加工品

• レストランを開きたい

• 食材の表示

– 栄養、アレルギー

– 菜食主義

– 食品衛生法

– 偽装

• 調理師免許、条例

– 河豚の肝、生レバー

• ハラール

– 食べても構わないもの。認証

– 宗教、習慣、文化、ポリシー

10


レストランのたとえ

• 販売・提供に対する規制

– 自分だけで食べるなら…

• 第3者に提供する場合には責任が伴う

– 入手した食材の中身を把握していますか？

– どの料理にどの食材が入っていますか？

– 適切な方法で調理をしましたか？

– あなたにその調理の権限はありますか？


OSS管理の必要性

• いつ？管理のタイミング

– M&Aのリスク査定

– COTS利用、OEMでサプライヤーから受領する時

– いつでも、定期的に。CI(継続的インテグレーション)– 新しいプロジェクト開始、新しいOSS利用

• 大量のOSSを少人数で管理できない

• 脆弱性情報や重要な更新が発表されたとき、どのように気づくか？

• どこから？混入の経路

– コミュニティサイトからのダウンロード

– サプライチェーン、内部での開発、過去のコードの再利用、サードパー

ティのコード

– 善意、うっかり、

11


管理の方法


具体的にどのように管理すればよいのか

• 在庫の調査

– 自己申告、アンケート？

• 管理

– スプレッドシート？

• ポリシーの作成

– 個々のOSSやライセンスに細かいルールをいちいち作っていられない

• コードベース内のOSSを洗い出し、バグやセキュリティ脆弱性、ライセン

ス違反などの危険から解放する

• 組織内にOSS使用法のコントロールを浸透させる

• OSSのリスクを減らすために、管理用のOSSツールや静的/動的コード解析

を用いる

12


組織内でのオープンソース管理

• 使用状況の把握

– セキュリティの脆弱性にすばやく対応

– 知的財産の訴訟リスクを最低限に抑える

• 正しい使い方の知識

– 開発を進めていくために正しい判断

– 製品をスケジュール通りにリリース

– 技術的問題、ライセンスモデル、セキュリティ上の問題

• リスク管理、ガバナンス

– ポリシー作成、承認・申請手続き

• サポート

– 企業製品同様の専門的で迅速なサポート


Step 1: Define

ポリシーを作成する

– 必要性を調査する

– セキュリティ、保守性、サポートやトレーニングなど

– 内部利用か価値を外部に提供するのか

– 利用しているサプライチェーンについて

• サードパーティ製のソフトウェア

• 開発を外部委託した場合

ガバナンス

– 商用利用や取扱い製品についてのガイドライン

– 取得と許可のポリシー、ワークフロー

– オープンソースのコンプライアンス、レビューの担当者を設置

– OSS監査やコンプライアンスについて文書作成

– 業界やサプライチェーンに課せられる義務

13


Step 2: Discover

プロジェクト内に何があるか

– OSSの使用状況

– ライセンスやコンプライアンス: 二次利用、コピーレフトの強さ

– オープンソース内のオープンソースに注意

アプリケーション内のオープンソース

– 埋め込まれたOSSプロジェクト、ファイル、コード断片

– バイナリとソースコード双方をスキャン

– 状況に応じてリアルタイムに更新

– ライセンスやコピーライト/レフト情報を明らかにする

公開と義務条項を判断する

– リスクに備えて現在のオープンソースの在庫を分析する

– 内部利用と外部利用のポリシー、法令遵守


Step 3: Deploy

現状をオープンソース査定

– ベースラインと現状の差分スキャン

– 継続的インテグレーション(CI)と継続的ビルド

– 安全なオープンソースリポジトリ

– オープンソースのポリシーとコンプライアンスを反映

– バージョンアップやセキュリティ更新に対して積極的にアプローチ

サポート、メンテナンス

– セキュリティリスクと更新情報をモニター

– 誰があなたのオープンソースコードの面倒を見るのか？

– 継続的な開発 – 組織変更などがあったとしても

– 製品開発の下流側でITアプリケーションの利用状況と管理

14


管理システムの条件

• 柔軟性、堅牢性

– 組織ごとの特性、ワークフロー

– メンバーの異動など様々な状況変化

– 開発拠点の多様化。地理的分散

• 容易さ

– 少人数で大規模なシステムを管理

– システム用のハードウェア/ソフトウェアをメンテナンス

– 常に最新のデータベース

– 自動化、継続的インテグレーション


OpenLogic OLEX

15


OpenLogicとは

• Founded by Rod Cope in 1998• 2013年秋にローグウェーブに合流

• OSSに関するリスク管理

– 安心してOSSの魅力を活用できる

• SaaS(クラウド)の管理ツール OLEX– すぐに開始、柔軟でスケーラブルな運用

• ガバナンス

– スキャン、ライセンスのコンプライアンス、認証済みライブラリ

• Audit (監査)、サポート、CentOS、AzureやAWS• 適用業界

– リスクプロファイルを扱う金融

– コンプライアンスが重要なソフトウェアベンダー

– M&A活動


OpenLogic OLEXの不思議

• すぐにサービスを始められます。

• どんなOSSがコードベースのどこにあるのかを洗い出します。

• そのOSSの種類や使用箇所をクラウド上で示します。

• 開発中のコードは組織の外に出ることはありません。

• ソースコードのどの部分がOSSを使っているのか比較して示します。

• どうやって可能なのか？

16


OLEXによるOSS管理

• コードは指紋情報としてハッシュ化かつ暗号化されて送信されるため、知財情報が外部に出ることはありません。• クラウドで一元管理されているため、柔軟なポリシー設定や運用が可能です。開発拠点が分散していても一括管理できます。


Deep Discovery スキャニング

1. OLEXからJavaアプリをダウンロード

2. フォルダを指定してスキャン

3. 暗号化された結果がバックグラウンドでOLEXへ

4. OLEX上で結果を表示

17


Deep Discovery スキャニング

• コードは組織から外には出ないがOSSを検出

• ハッシュ化、暗号化、安全なデータセンター

• 少ないノイズでかつ高速に、安全に

• 多くのオープンソース技術を使用

• たとえば

– 単語がデータベースに存在するかどうか高速にチェックするフィルタ

– クラスタリングや件数表示を行う検索システム

– 分散ストレージシステム

• コードを外部に出さずにOSSの所在を確定するためのトリック


クラウドの利点

• 常に最新のデータベースとプラットフォーム

• インストール不要ですぐに開始できる

• ハードやセキュリティなどの管理の手間が不要

• 拠点が分散していても使える

• セキュア

• 最新のデータベース

18


自動化

• RESTfulなAPI

• xml, jsonでやりとり可能

– パッケージのバージョン情

報、脆弱性情報などを取得

• 豊富なドキュメント(ログインが

必要)


スキャン結果

OSSの在庫一覧

サマリー表示

ツリー表示

リスト表示

19


スキャン結果

セキュリティ脆弱性リスク


ポリシーの設定

柔軟性:• ホワイトリスト• ブラックリスト• 申請の承認

許可/却下するライ

センスやパッケージを調整

20


申請のワークフロー

申請理由管理者が許可/

却下


スキャン実行

• 設定• 対象フォルダを指定• 結果を待つ

21


スキャン結果サマリ

脆弱性情報

検出されたOSS

検出されたライセンス

OSS ライセンス義務


脆弱性情報 (NVD Alerts)

NVD情報のあるパッケージをハイライト

ワンクリックで脆弱性情報の詳細を表示

22


ライセンス使用状況

ポリシーに抵触

ライセンス違反


サポートダッシュボード

様々なレベルのサポート

ダッシュボードからサポートの依頼が可能

オープンな

チケットの状況を確認

23


サポートチケットのワークフロー

連絡先詳細

パッケージとバージョン情報

実行環境

問題点、深刻度

添付ファイル


コードの比較

• OSS情報はOLEX上

• コードは組織から

出ていない

ユーザーのコード検出されたOSS

24


Audit (監査)

• 在庫調査

– アンケート

– 専門家によるスキャン

• 使用状況を解説

– 含まれているOSSの明細

– ライセンスの種類、規約

– 使用方法やポリシー作成を

アドバイス

• ガバナンス導入のための最初のステップ


OSS技術サポート、コンサルティング

• 使用頻度の高い数百のOSS製品に対して企業レベルのサポート

– Apache、Tomcat、JBoss、MySQL、ActiveMQ、PostgreSQL、CentOS

• Tier 2/3 の専門家(技術、アーキテクチャ、システム管理)が直接対応

• プロフェッショナルサービス

– アーキテクチャのレビューや移植の助言、主要製品の使用方法へのト

レーニング

– 性能チューニング、アーキテクチャのレビュー

– 製品のアップデートや脆弱性の情報はOLEXに掲載

– 定期的に通知するサービスも付属

25


サポート on Azure & AWS

Support for Linux images in Microsoft Azure

• すぐに使用できるスタック(例: CentOS + MySQL)


OpenLogic

26


話題は変わって


elePHPant

27


PHP

• OOPの汎用スクリプト言語

– PHP: Hypertext Preprocessor (もとは Personal Home Page)– オープンソース

• HTMLに直接埋め込み可能

• 1995年今年で20年

– JavaScript、Rubyと同年

• 最も広く使われているサーバサイド言語

– MediaWiki、PukiWiki、phpBB、

– WordPress、Drupal、Magento


PHP

ウェブ開発で根強い人気

28


PHP

• PHP7.0リリース! 12月3日

– PHP 5.6 が2014年8月

– PHP 5 in 2004以来最大の変更

– php 6 はスキップ

• PHPNG (Next-Gen)エンジン採用

– 2倍高速、実アプリで25%-75% 高速化

– メモリ消費50%


PHPは危険？

2007年頃、IPAの「セキュアプログラミング講座」 2015年現在、IPAの「セキュアプログラミング講座」

29


Zendの製品

• 創設者 Andi GutmansとZeev Suraski

オープンソース

• PHP NG engine (core of PHP 7)• Zend Framework 3

– PHPの中核

• Apigility– Web API構築

– RPC、RESTful• Eclipse PDT for PHP

(#1 OSS IDE for PHP)


Zendの製品

商用

• Zend server– PHPの実行、ウェブサイトのステージング、デプロイ、クラスタリング

– 継続的インテグレーション

• Z-ray– Zend Serverのプラグイン。X-rayゴーグル。

– モニタリング、プロファイル、デバッグ

• Zend Guard– 商用製品のためのセキュリティ。難読化、ライセンス管理機構

• Zend Studio– PHP IDE– デバッグ、モバイル用サイト

– Docker、Git、PHP7移行

– AWS、Azure

30


まとめ

• OSSと商用製品の違い

– ない。よいものはよい、悪いものは悪い

• 入手や個人利用は無償

– ただし商用サービスや開発支援の製品を使うほうが正しくかつ効率的

に結果を出せる

• OSSか商用かにこだわらず、結果に役立つ良いものを選び使いましょう。

ローグウェーブはどちらも提供します


会社紹介、製品紹介

• 大規模ライブラリ

– 数値計算・統計ライブラリ IMSL– C++開発支援ライブラリ SourcePro– 大規模GUI構築ライブラリ

Visualization

• 小粋なツール

– インタラクティブなデータ可視化

PV-WAVE– MFC/.NET拡張 GUI作成ライブラリ

Stingray

• 動的、静的解析ツール

– HPC向け並列デバッガ TotalView– GUI並列デバッガ CodeDynamics– 静的コード解析 Klocwork

• オープンソース

– OSSリスク管理 OpenLogic– PHP コア技術および開発支援 Zend

• ローグウェーブ、1987年 tools.h++ 米国コロラド州ボルダー近郊

– 開発者支援のツールを開発/販売

– 開発をシンプルに安全で高品質のコードをすばやくお客様のもとへ

お問い合わせは [email protected] へ

31


OSC2015 .Enterprise in 渋谷


質疑応答

会社紹介 - ospn– ossリスク管理openlogic – php コア技術および開発支援zend •...

Documents