HIGIS 3/ﾌﾟﾚｾﾞﾝﾃｰｼｮﾝ資料/J_GrayA.ppt

Size: px

Start display at page:

Download "HIGIS 3/ﾌﾟﾚｾﾞﾝﾃｰｼｮﾝ資料/J_GrayA.ppt"

たかとしこやぎ
4 years ago
Views:

2 はじめに昨今オープンソースソフトウェア (OSS) のビジネス利用は Web サーバやメールサーバなどのいわゆるエッジ系に限らず基幹系システムでも利用されるようになってきていますしかしながら次のような不安の声も耳にします星の数程ある OSS のどれを使えばいいんだろう使ってしまって大丈夫なんだろうか何かあったらどうしよう OSS ではソースコードをはじめとしてさまざまな情報が公開されていますこれらの情報を活用して選定 : 利用にあたりどの OSS やバージョンを採用するか管理 : 利用開始後運用で発生する問題にどう対処するかについて述べさせていただきこういった不安を少しでも緩和できれば幸いです GitHub だけで 8 千万以上! Hitachi Solutions, Ltd All rights reserved. 1

5 1-1.OSS の公開情報って何がある? 公開されているのはソースコードだけではありませんリリース情報ソースコード #include <stdio.h> int main( int argc, char *argv[]) { int x, y, z, i, j; for (i=0; i<maxpath;i++) { : } 変更履歴 ( リポジトリ ) 各種ドキュメントマニュアル FAQ 利用者参加情報メーリングリスト ( アーカイブ ) バグ情報サポートフォーラム脆弱性情報 Hitachi Solutions, Ltd All rights reserved. 4

6 1-2. バグ情報って何だろうバグはプログラムの問題点プログラムをより良くしていくため主に開発者が利用する情報です問題点の情報を開発者間や利用者との間で共有します修正方法の提案や修正内容について議論ができます多くの OSS プロジェクトでは一般利用者からの報告も受け付けています同時にその後の修正方法の議論や修正結果も公開されています具体的には修正が必要な事象に関する以下の情報の集まりです発生現象重要度 ( 深刻度 ) 発生条件環境 (OS, ハードウェア ) 対象モジュール機能再現手順回避方法修正方法案修正結果等 Hitachi Solutions, Ltd All rights reserved. 5

7 1-3. 脆弱性情報って何だろう脆弱性はプログラムのセキュリティ上の問題点任意のコードの実行や情報漏えいなどが発生する可能性がありますプログラム上のバグや仕様的欠陥などが原因となります対策版までの過程はバグ情報で公開されていることもあります攻撃を誘発するため通常は具体的攻撃方法は公開されません通常のバグよりも早く対策が行われることが多いです具体的には脆弱性に関する以下の情報の集まりです発生現象重要度 ( 深刻度 ) 発生条件環境 (OS, ハードウェア ) 対象モジュール機能再現手順回避方法脆弱性番号対策版情報等 Hitachi Solutions, Ltd All rights reserved. 6

1-4. リリース情報って何だろうリリース情報はプログラム変更内容のリストバグや脆弱性の対策新しい機能の追加仕様の変更前提プログラムの変更

9 1-5. バグトラッキングシステムバグトラッキングシステムとはプログラムのバグや脆弱性発見時に登録し修正状況を管理するための専用システムです通常はWebインターフェースが提供されていますプロジェクトの進捗管理が可能な機能もあります ToDo 管理やリリース予定バグ情報の分析未修正一覧ある月のバグ情報などの絞込みも可能定期的なフォローメール Hitachi Solutions, Ltd All rights reserved. 8

1-5. バグトラッキングシステム Bugzilla http://www.bugzilla.

豪アトラシアン社が開発したプロプライエタリソフトウェア OSS プロジェクト等には無償で提供される主な採用プロジェクト http://www.atlassian.

10 1-5. バグトラッキングシステム Bugzilla Mozilla Foundation が開発している OSS 主な採用プロジェクト Mozilla project Linux Kernel Apache Project (httpd, Tomcat 他 ) Samba Project JIRA 豪アトラシアン社が開発したプロプライエタリソフトウェア OSS プロジェクト等には無償で提供される主な採用プロジェクト Spark Apache Project (Struts, Maven 他 ) 引用 : Mozilla Project Bugzilla ( ) よりその他 GitHub 独自系他引用 : Apache Project ASF JIRA ( より Hitachi Solutions, Ltd All rights reserved. 9

1-6. 脆弱性データベース脆弱性データベースとは OSSに限らず商用製品も含めたプログラムに関する脆弱性の情報を一意に管理するデータベースです脆弱性を一意に識別するため CVE 番号と呼ばれるIDが割り当てられます脆弱性の概要対象のソフトウェアバージョン

11 1-6. 脆弱性データベース脆弱性データベースとは OSSに限らず商用製品も含めたプログラムに関する脆弱性の情報を一意に管理するデータベースです脆弱性を一意に識別するため CVE 番号と呼ばれるIDが割り当てられます脆弱性の概要対象のソフトウェアバージョン開発元の情報や関連するバグトラッキングへのリンクなどの情報があります目的のソフトウェアに関する脆弱性の一覧を検索できますある脆弱性に関する詳細情報を取得できます Hitachi Solutions, Ltd All rights reserved. 10

1-6. 脆弱性データベース CVE https://cve.mitre.org/ MITRE 社が提供するデータベース脆弱性情報の ID である CVE 番号を管理 NVD https://nvd.

12 1-6. 脆弱性データベース CVE MITRE 社が提供するデータベース脆弱性情報の ID である CVE 番号を管理 NVD NISTが提供するデータベース CVE 番号ごとにより詳細な情報を提供 (CVSSスコアなど) 引用 : Common Vulnerabilities and Exposures ( ) よりその他 JVN CERT/CC JPCERT/CC( メーリングリスト配信サービスもあります ) 引用 : National Vulnerability Database ( より Hitachi Solutions, Ltd All rights reserved. 11

14 2-1. 統計分析バグ情報の統計バグ報告の件数やその修正件数の推移をバグトラッキングシステムから取得し分析しますこれらの件数の推移を見ることで開発の活発さやプログラムの成熟度の一端を知ることができますバグ報告が多いということは... 修正が多いということは... 問題が多いかも? 利用者も多い実際に問題が多かったメンテナンスが活発に行われているでは実際に OSS のバグ報告件数修正件数を見てみましょう Hitachi Solutions, Ltd All rights reserved. 13

18 nginx 1.13 のバグトラック集計 nginx 静的コンテンツの処理を得意とする非常に軽量かつ高速な Web サーバ nginx 1.13 (Mainline) 新規報告 FIXED 報告件数も修正件数も増加傾向修正率が高い非常に頻繁なリリース nginx(mainline) は常にこのような状態 0 Nginx View Tickets ( ) より集計 Hitachi Solutions, Ltd All rights reserved. 17

19 2-6. 使うべき OSS は? 問題の件数問題の件数と同程度しっかり対策もされている問題の件数は収束傾向にあるリリースリリースの間隔が良好 ( 年 2 回以上 ) EOL(end of life) 時期にも注意その他利用されている事例や情報が豊富か Google Trendsの利用も有効 nginx のように常に活発な状態が続く OSS も出てきている CI/CD 環境を整えるなどの対応が必要 Hitachi Solutions, Ltd All rights reserved. 18

21 3-1.Case1 バグに遭遇? 問題発生既存事例の調査誰かが同じことをやってるかも既に直っているかも回避方法があるかもバグ情報メーリングリスト使用者回避策対策版検索コメント投稿 & 過去検索投稿して会話新しいバグだ注意バグかもしれないマニュアルと動きが違う core dump したソースの間違いを見つけた新しいバグを見つけたので報告修正方法がわからなくても ( わかれば Best) 開発者に伝える会話ができる今後の開発に活かしてもらえるかも記録として残るバグトラックはあくまでもバグ修正を管理するためのツールです一般利用者のためのお助けフォーラムではありません単なる問い合わせのためにバグトラック投稿を行うと開発者に無用な作業を増やしてしまいますよくわからない場合はまずユーザメーリングリスト等を活用しましょう Hitachi Solutions, Ltd All rights reserved. 20

22 3-2.Case2 脆弱性が公表され騒ぎに!? 脆弱性情報公表情報の調査対象バージョンは? 対象モジュールは? 回避策はあるのか? 対策版はあるのか? 本当に起こり得る内容なのか? 脆弱性情報関連情報使用者回避策対策版詳細把握関連リンクの確認コミュニティの見解関連バグ情報 CSIRT 等の情報世間で大騒ぎになっているがうちのシステムは該当するんだろうか該当するのか判断できない回避策対応版の適用を考えるユーザメーリングリストで聞いてみるサポートを提供するベンダに頼る基本は対策版へのアップデートを行うことです必要になった場合に円滑に実施できるようにするため事前の用意も重要です Hitachi Solutions, Ltd All rights reserved. 21

24 4. まとめバグ情報は開発者はもちろん利用者にとっても非常に重要なものですバグ情報や脆弱性情報は利用者にとって問題発生時の調査情報源となります個別の問題解決以外にもバージョンの選定バージョンアップ時期の目安など運用管理に役立てることもできます日頃からウオッチすることで障害予防に活用することもできます使用している OSS の現状を理解するための重要な情報源の一つとなります公開されている情報を有効に活用して OSS を効果的に利用しましょう Hitachi Solutions, Ltd All rights reserved. 23

25 5. 弊社サービス紹介オープンソースサポートサービスシステムに OSS を利用してコスト削減を検討したいがサポートがないのは不安ポイント脆弱性情報不具合情報リリース情報をお客様の環境に合わせて情報をフィルタリングしてご提供調査を弊社が代行することで問題発生時の調査コストを削減サポート対象ソフトウェアの一例サービスの効果サーバ製品開発系 Redhat JBoss その他 Apache HTTP Server Apache Tomcat nginx Bind Postfix Dovecot Squid Apache Commons Apache Log4j Struts SpringFramework Ruby JasperReports Library JBoss EAP JBoss BPM Suite JBoss BRMS JBoss EWS OSS 利用時の運用コストを削減します GnuPG OpenSSL OpenLDAP MyBatis PostgreSQL ansible 掲載されていないソフトウェアはお問合せください情報提供サービスに対応していないソフトウェアもございます OSS の運用時に課題となるサポートリスクを軽減します Hitachi Solutions, Ltd All rights reserved. 24

26 他社所有商標に関する表示 Apache, Apache Project, Spark は Apache Software Foundation の米国およびその他の国における登録商標または商標です GitHub は GitHub Inc. の米国およびその他の国における登録商標または商標です Google Trends は Google Inc. の米国およびその他の国における登録商標または商標です JBOSS は Red Hat, Inc. の米国およびその他の国における登録商標または商標です Linux は Linus Torvalds 氏の米国およびその他の国における登録商標または商標です MySQL は米国 Oracle Corporation およびその子会社関連会社の米国およびその他の国における登録商標または商標です Nginx は Nginx Software Inc. およびその子会社関連会社の米国およびその他の国における登録商標または商標ですその他記載の会社名製品名はそれぞれの会社の商号商標登録商標または商品名称です Hitachi Solutions, Ltd All rights reserved. 25

なぜ企業はオープンソースを使わないのか（２）

なぜ企業はオープンソースを使わないのか（２）第 46 回 Prowise Business Forum なぜ企業はオープンソースを使わないのか (2) ~ 導入におけるメリットと安心安全に活用するポイント ~ 2010/11/18 株式会社日立ソリューションズ OSS ソリューションビジネス推進センタ吉田行男 0 自己紹介 2000~ Linux を活用したビジネス企画に着手 2003/4 OSS サポートサービスを開始 2005/1 OSS