オープンソースソフトウェアのリスク管理テクノロジーとサービスの大手プロバイダーであるFossIDは、包括的で正確なソフトウェア部品表(SBOM)の生成を含むソフトウェア構成分析(SCA)ツールの操作に必要な時間と専門知識を大幅に削減する新しいAI搭載テクノロジーであるID Assistを中心とするFossID Workbench 24.2の提供を開始しました。
オープンソースソフトウェア (OSS) の普及により、開発者が Stack Overflow などのソースからコードブロックをコピーして貼り付ける傾向は強まり、そして現在では GitHub Copilot などの生成型 AI コーディングツールの採用により、オープンソースソフトウェアの使用に関連するリスクは近年急増しています。この課題を理解するために、次の点を検討してください。
・OSSは現在、ほとんどの最新アプリケーションのコードベースの50%以上を占めています。
・2億以上のオープンソースプロジェクトが知られており、そのうち3000万のオープンソースプロジェクトがGitHubでホストされています。
・FossIDのOSSナレッジベースでは、2,500を超える固有のライセンスが追跡されています。
ソフトウェア構成分析 (SCA) は、最新のソフトウェアコードベースに組み込まれているすべてのオープンソースおよびサードパーティソフトウェアパッケージを正確に識別する機能により、OSS 関連のリスクを軽減する上で重要な役割を果たします。
ただし、SCA スキャンの結果の確認と検証には、多くの場合、かなりの手作業と専門知識が必要です。ID Assist は、このプロセスの大部分を自動化し、最終結果の正確性と完全性に対する信頼を高めます。
ID Assist はソフトウェア監査の豊富な専門知識を活用します
FossID は、SCA 技術の開発に加え、2016 年の設立以来、組織の内部使用や M&A 取引のためのオープンソース監査を提供してきました。長年にわたり、FossID はオープンソースソフトウェアの出所と、対応するライセンス情報を特定するための高度な技術を開発してきました。この分野の知識と FossID が開発した技術を組み合わせることで、FossID ナレッジベース内の 20 ペタバイトを超えるオープンソースデータに対して OSS 監査を効率的に実行できるようになりました。ID Assist は、Expert Systems AI を活用して、FossID Workbench を通じてこの専門知識を誰もが利用できるようにしています。
「ID Assist は、熟練したオープンソース監査人の経験と知識を生かし、手動で結果を検証する必要を減らし、場合によってはその必要性をなくすExpert Systems AI ソリューションです。ID Assist は、スキャン結果を自動的にフィルタリング、ランク付け、並べ替えをし、複数の可能性がある場合に真のオリジナルライセンスを特定します。」
Jon Aldama
Chief Product Officer and co-founder of FossID
ソフトウェア構成分析に適した AI アプローチ
Expert Systems AI は、事前に定義された一連のルールと知識ベースを活用して、人間の専門家の意思決定能力をエミュレートします。
オープンソースソフトウェア領域の構造化された性質と監査人のルールベースのプロセスにより、Expert Systems AI アプローチが明らかに最適な選択でした。
ID Assist の背後にあるExpert Systems AI により、オープンソースソフトウェアのリスク管理に関連する手作業の労力が大幅に削減されます。
ID Assist は次のようにこれを実現します。
・オープンソースのコードスニペットを正確に識別する
・二次的なコードマッチをインテリジェントに除外
・高度なスコアリングを適用して、コードマッチの真の起源を明らかにする
・完全に自動化されたスキャンと検証ワークフローの実現
「FossID は、AI の流行に飛びつくのではなく、顧客のプライバシーとセキュリティを保護しながら人工知能の可能性を実現する AI ソリューションを意図的かつ知的に開発しました。将来的には他のアプローチが当社のビジネスに適用される可能性もありますが、Expert Systems AIの決定論的な性質と膨大な量のトレーニングデータが不要であることから、FossID にとってこの決断はシンプルなものでした。」
Stuart Dross
Chief Executive Officer of FossID