製品のOSSチェックから脆弱性監視まで、ウイングアーク１ｓｔが選んだツールは

　帳票やBIツールで高いシェアを誇るウイングアーク１ｓｔには、全社横断の専門部署である「ソフトウェアプロセス＆品質改善部」があり、その中のOSSチームが製品リリース前のライセンスチェックからリリース後の脆弱性監視までを、徹底して行っている。同社では2019年、より適切なOSS管理を行うため、新規に管理ツールを導入。開発者数に応じたライセンス体系や、スニペットスキャン機能を採用していることが選定の決め手となった。

　導入後、開発フェーズではコードを同ツールにスキャンさせ、出力されたレポートを、OSSの種類や脆弱性に問題がないことの証左として、リリース承認の際に活用している。また運用フェーズでは、脆弱性の監視に同ツールを活用し、開発者にアラートを通知する仕組みを独自に構築。さらにSBOMの作成も同ツールで行い、取引先にも提供している。

　特に同ツールのスニペット機能は、生成AIを利用したコーディングにおけるライセンス違反や、脆弱性を持つコードが混じるリスクを低減するなど、大きな成果を挙げているという。同社の取り組みや同ツールの実力を、本資料で詳しく見ていこう。