シノプシス ソフトウェア・インテグリティ・グループはブラック・ダックになりました 詳細はこちら

close search bar

申し訳ありませんが、この言語ではまだご利用いただけません

close language selection

ソフトウェアのデューデリジェンスに対応する商用ソフトウェアライセンス

Black Duck Editorial Staff

Feb 11, 2023 / 1 min read

サードパーティー製ソフトウェアライセンスを理解することの重要性

コードの価値が重視される合併・買収(M&A)の技術取引では、買い手は、使用されるコンポーネントに適切なライセンスが付与されていることを確認したいと考えます。適切なライセンスが適用されていない場合、買い手が法的な問題に対処しなければならなくなる可能性があります。たとえば、2021年にシノプシスが監査したコードの78%はサードパーティー製のコンポーネントで構成されていました。また、多くの場合、コードベースにはサードパーティー製の商用ソフトウェアが含まれていますが、オープンソース・ソフトウェアばかりが注目され、売り手は一部のサードパーティー製ソフトウェアの存在に気付いていない可能性があります。ソフトウェアデューデリジェンスのこの側面は、オープンソースのアーティファクトを見つけることと同等に重要であり、この問題に対処するためにBlack Duck®監査が役立ちます。

効果的なオープンソース監査には人手の介在が必要

コードベースでソフトウェア・コンポジション解析を実行するために利用できる自動化ツールは多数あります。シノプシスがM&A取引のための監査を実行する場合、コードベースのフォレンジック調査を行うさまざまなツールを使用し、監査人が手動で調査結果を確定または除外して結果を補足します。また、オープンソース・ソフトウェア部品表(SBOM)を作成するための業界標準に準拠し、サードパーティー商用ベンダーのコードベース内のコンポーネントを特定します。

Synopsysでは、コードベースのフォレンジックスキャンの結果を手動で検査することにより、商用ベンダーのコードを発見します。一部の商用および独自開発のコンポーネントは、広範なKnowledgeBase™を利用して特定できますが、その大部分は監査人がコードの詳細な分析を行う段階でようやく見つかります。

当社が採用している高度な文字列検索では、この分析に役立つさまざまなタイプの約200のターゲット検索パターンが用意されています。また、さまざまなバイナリファイル形式のメタデータを検索することもできます。これらの手法により、自動化では見落とされがちなオープンソース・コンポーネントを発見し、ファイル内の会社の著作権とエンドユーザー・ライセンス契約(EULA)を見つけることも可能です。

このような商用ソフトウェアの兆候が見つかると、監査人は対象コードの提供元はどの企業かを調査します。スキャン結果のレポートは、情報を利用しやすいようにカテゴリ別に分類されます。レポートには、カスタマイズされたライセンスと非標準ライセンスのコンポーネントを含む「要調査」カテゴリが含まれています。これにより、レビューが必要なライセンスに焦点が当てられ、どのような修正作業が必要になるかを法務チームが理解する上で役立ちます。

デュアルライセンス・コンポーネントは、オープンソース・コードと商用コードの中間のコンポーネントカテゴリです。これらのコンポーネントは相互ライセンスまたは商用ライセンスの下で提供されます。このことが興味深い影響を及ぼす可能性があります。今後のブログでこのコンポーネントの分類をテーマにした投稿をご紹介する予定ですが、要するに、買収対象企業は商用ライセンスを持っているか、非商用のオープンソース・ライセンスに準拠している必要があります。

商用ソフトウェアの発見が重要な理由

買収対象企業は、知り得る限り、コードベースで採用している商用ソフトウェアを開示しますが、多くの場合、買収対象企業にとっても想定外のコンポーネントが見つかります。これらのコンポーネントは再配布可能なコンポーネント(再配布条件に準拠している場合に使用できるコンポーネント)であることが多く、買収側は該当条件が遵守されていることを確認する必要があります。その他の商用コンポーネントでは、商用ライセンスが購入されていることを確認するために追加調査が必要になる場合があります。

シノプシスが検出した商用ソフトウェアの種類

見つかった商用コンポーネントには、オープンソース・ライセンス・オプションがあるものや、互換性のあるライセンスでオープンソース・プロジェクトに貢献しているものもあります。私的使用および非商用目的のオープンソース・ライブラリもありますが、ターゲットのソフトウェアで使用する場合は許可または商用ライセンスが必要です。サードパーティー製のフォントも一般的に使用されており、独自開発のソフトウェアと同様にEULAへの準拠が必要です。

製品で使用される商用ソフトウェアの条件に準拠することは、コードベース内のオープンソース・コンポーネントのライセンス要件を理解することと同程度に重要である、という話をサードパーティーの法的パートナーからよく聞かされますが、その考え方が広がり、監査で文書化されたサードパーティー製商用コンポーネントにも同等の関心を持つ顧客が増えることが期待されます。完全なSBOMを作成するためには、商用ソフトウェアを発見するためのツールと専門知識を備えた監査サービスを利用することが不可欠です。

発見された商用コンポーネントの割合

シノプシスが発行した2022年の「オープンソース・セキュリティ&リスク分析」(OSSRA)レポートでは、1年間に履行された契約で見つかったオープンソースの量を示しています。発見した商用コンポーネントについても追跡しています。シノプシス Cybersecurity Research Center(CyRC)のリサーチャーであるGary Armstrongは、このデータを編纂および検証し、2019~2021年に見つかった商用ソフトウェアに関する指標を提示しました。

Commercial components

Black Duck監査によるガイド

製品を構成するすべての要素を決定するために、M&Aデューデリジェンスでライセンスコンプライアンスをチェックすることが重要です。シノプシスの Black Duck監査により、商用コンポーネントを含む、すべての要素に対する理解を深めることができます。

Continue Reading

トピックを探索する