オープンソースポリシー

開発者は通常その機能に基づいてオープンソースコンポーネントを選択しますが、企業はライセンスや脆弱性などの他の側面も考慮する必要があります。
したがって多くの企業ではどのコンポーネントが受け入れ可能か、使用できないか、さらにレビューする必要があるかを指定するオープンソースポリシーを定義しています。これらのポリシーには通常、オープンソースライセンスのホワイトリストとブラックリスト、セキュリティと品質のバグに対する重大度のしきい値、コンポーネントの最大使用期間などが含まれます。
オープンソースのコンポーネントを頻繁に使用するため、これらのポリシーをマニュアルで強制してしてしまうと、開発プロセスにボトルネックが発生してしまいます。これを避けるために何ができるのでしょうか?

 

オープンソースのポリシーを自動化する

自動化されたポリシーを設定することによって、手作業で見直す必要がある新しいコンポーネントの数を75〜90%減らすことができます。
オープンソースのコンポーネント承認リクエストとレビュープロセスを自動化することで、開発プロセスのスピードアップを図ることができます。開発者は各コンポーネントを追加する前に手動での承認を待つ必要がなくなり、要求を出したりコンポーネントをレビューしたりする開発者の時間を節約できます。
 

ソフトウェア開発のライフサイクルを通じてポリシーを実施する

WhiteSourceを使用するとソフトウェア開発プロセス全体でオープンソースポリシーを実施することができます。

開発者はブラウザのプラグイン選択ツールを使用して、コンポーネントをダウンロードすることなく、開いているリポジトリ内で、オンライン検索しながら、特定のコンポーネントが組織のポリシーを満たしているかどうかを確認できます。したがってWhiteSourceを使用すると、互換性のないコンポーネントを後で交換する必要がある場合にのみ統合するのではなく、開発者は適切な選択を最初に行うことができます。

リポジトリ選択ツールのスクリーンショット

さらにオープンソースポリシーの施行を自動化することで、オープンソースの使用状況をよりよくコントロールすることができます。受け入れ可能なパラメータを事前に定義することで、許容できないコンポーネントがあなたの製品に潜んでいないということを確実にすることができます。
コンポーネントが選択されてビルドに追加されると、次回ビルドが実行されるときにWhiteSourceがそれを自動的に検出し、自動化されたポリシーに対しても分析します。
もしそのコンポーネントがあなたの会社のポリシーを満たしている場合、それは承認されます。そうでなければ、それは拒否されます。その場合は拒否理由を説明する電子メール通知を受け取るか、あるいはビルドに失敗するようにルールを設定することもできます。コンポーネントが承認も拒否もされていない場合は、手動審査をリクエストする電子メールがあなたが選択した関連連絡先に送信されます。

この比較を見ると、WhiteSourceが特別な存在であることがわかります


さまざまなパラメータに基づいてポリシーを構築する

ポリシーは、セキュリティ脆弱性、オープンソースライセンスタイプ、ソフトウェアバグの重大度、コンポーネントの年数、等、ほぼすべてに基づいて定義できます。特定のベンダーのコンポーネントをチェックしたり、オープンソースコンポーネントに属性を追加したり、カスタムルールを作成したりするポリシーを設定することもできます。

 

 

WhiteSourceはソフトウェア開発ライフサイクル(SDLC)を通じてオープンソースの使用を完全にコントロールし、可視化します。

 

あなたのオープンソースポリシーが、数分以内に設定できます