大根's ITブログ

ITとか開発ツールとかビジネスとか色々

Goアプリが利用しているOSSのライセンス一覧を生成するやーつが一杯あるねって話

って話で、メモっておきたいと思います。

go-licenses

言わずと知れたGoogle様のツールであります。

https://github.com/google/go-licenses

gocredits

日本語記事があったのはこれくらいだったと思う。依存ライブラリのライセンス文をひとまとめにしてくれるツール。わーい。

https://github.com/Songmu/gocredits

依存ライブラリのLICENSE同梱のためのgocreditsというツールを作った | おそらくはそれさえも平凡な日々

glice

なかなかGitHubスターが多い。これもチェックかと。

https://github.com/ribice/glice

golicense

バイナリ向け?っぽい。スターが結構多いね。

https://github.com/mitchellh/golicense

Androidアプリで利用しているOSSライセンスの一覧生成ツールが死ぬほどある件

本当めっちゃありますね。ここにメモっておきたいと思います。

oss-licenses-plugin

言わずとしれたGoogleさんのやーつです。はい。

本家:https://github.com/google/play-services-plugins/tree/master/oss-licenses-plugin

参考:https://tech.trilltrill.jp/entry/2020/10/27/181937

LicenseToolsPlugin

cookpadさんのGradle pluginです。これも言わずと知れたやーつかなと。

本家:https://github.com/cookpad/LicenseToolsPlugin

参考:https://techlife.cookpad.com/entry/2020/01/16/090000

AboutLibraries

結構使われているやーつ。GitHubスターからすると一番人気か?

本家:https://github.com/mikepenz/AboutLibraries

参考:https://cutmail.hatenablog.com/?page=1472744061

license-list-plugin

日本人の方が作っている。良さそう。

本家:https://github.com/jmatsu/license-list-plugin

参考:https://speakerdeck.com/syarihu/license-list-plugin

LicenseDialog

クレジット表示のダイアログを簡単に作れるJavaライブラリです。シンプルisベスト感。

本家:https://github.com/PSDev/LicensesDialog

参考:https://backport.net/blog/2016/07/30/licenses_dialog/

 

随時追加していきまふ。

「このファイルのOSSライセンス何?」を解析するツールなど

世の中には色々なOSSライセンスがありますが、「これ何ライセンスだ?」というタイミングは山ほどあると思います。

今回はそのような場合に使えるツールをまとめます。随時更新。

askalono

(もともとamazonがホストしていた気がするが…)

https://github.com/jpeddicord/askalono

Sørensen–Dice を算出してライセンスの候補を出すスキャンツールです。Rustで書かれてる。

実行イメージなんかはこちらに書いてある。なんだか使えそうだね。

参考:askalono - オープンソース・ソフトウェアのライセンスを特定 MOONGIFT

lc

licensecheckerの略らしい。Go製。ブログはこちら

https://github.com/boyter/lc

go-license-detector

なるものがあるらしい。なんだかとても精度が高いようです。

https://github.com/src-d/go-license-detector

以下ブログで紹介されていた。

https://labs.cybozu.co.jp/blog/akky/2019/01/go-license-detector-tells-you-license-from-source-codes/

licensee

https://github.com/licensee/licensee

GItHub社製のツールらしい。Ruby実装。ライセンス検知。どうもlicensedのライセンスファイル検索で使われているようだ

参考:licenseeをインストールしてライセンス情報を取得する - やってみる

ScanCode toolkit

https://github.com/nexB/scancode-toolkit

nexB社製。有名らしい。

FOSSology

https://www.fossology.org/

言わずと知れたやつ。ハンズオンの資料とかはこちらにある。

https://github.com/OpenChain-Project/Japan-WG-General/tree/master/Compliance-Tooling/FOSSology/Hands-on

Monk

https://github.com/fossology/fossology/wiki/Monk

FOSSologyのエンジンの一つ。

テキスト類似度による検出。精度は高い。

Nomos

https://github.com/fossology/fossology/wiki/Nomos

FOSSologyのエンジンの一つ。

正規表現による検出。精度は高くない。

ninka

http://ninka.turingmachine.org/

https://github.com/dmgerman/ninka

日本人の方(Yuki Manabeさん)もAuthorになっている。調べると論文とか出てきて面白い。FOSSologyからも使えるようだ(インストールしてる場合のみ)。

Atarashi

https://www.slideshare.net/ShaneCoughlan3/fossology-two-new-approaches-for-license-scanning

FOSSologyにプルリクが行われているという、ライセンススキャナ。機械学習らしい。ちなみに名前の由来はやはり日本語らしい。

f:id:daiconnnnnnn:20210211180131p:plain

licenseclassifier

https://github.com/google/licenseclassifier

Google製。

LiD

https://source.codeaurora.org/external/qostg/lid

Linux Foundationが持っているやつっぽい。

最後に

どうやらスキャナーを比較するプロジェクトもあるようである。今は動いていないようだ。

https://github.com/maxhbr/LicenseScannerComparison

セミナー企画(BtoB)したことない奴がセミナーをやる意味について調べたのでまとめてみた

先日、自社製品のセミナー企画をやらされたんですよ。初めてやったんですけどね。

その時に「セミナーって何でやってるんだろうなぁ」と思ってしまったのですよね。

製品を売るためってのは分かってるんだけど、だったらセミナーより良い方法はいくらでもあるだろと。投資対効果が微妙なんじゃないかと。

というわけで色々調べたら知らないことが色々出てきたのでこちらに書いておこうと思う。初心者の参考になれば良き。

セミナーの目的とは - 何も知らないver.

基本的には、

「リード(見込み顧客)を収集する」

というのが目的になるだろう。これは何も疑いようがなく思える。

ただ自分の場合はなんか気持ち悪かった。リードの収集ならもっと効率良い方法があるだろうと。なので一回いろいろ調べることにした。

そもそも見込み顧客(リード)ってなんだ

とにかく、まずはこれだ。

リードなんてのは完全に理解していると皆が思っているが、意外と奥が深い(気がする)。調べていくとマーケティングの世界には以下の用語があることに気づく。

  • 潜在顧客
  • 顕在顧客
  • 見込み顧客

潜在顧客

f:id:daiconnnnnnn:20200816175304p:plain

  • 自社の製品・サービスを知らない顧客
  • 存在を知れば購入や利用の可能性のある顧客
  • 自分のニーズを認識している場合、していない場合がある

顕在顧客

f:id:daiconnnnnnn:20200816175331p:plain

  • 自分のニーズを理解している顧客
  • 自社の製品・サービスを知っている顧客

見込み顧客(リード)

f:id:daiconnnnnnn:20200816175423p:plain

  • 企業によって用語の定義が異なる
  • 顕在顧客と定義したり、顕在/潜在両方と定義したり
  • 将来のクライアントになる可能性があるという点は一致

リードの本来の活用方法は?

やはりセミナーをやるからにはこれを理解する必要があった。リードの活用方法は以下らしい。

  • 「獲得」して「育成」して「絞り込み」するもの
  • 獲得:リードジェネレーション
  • 育成:リードナーチャリング
  • 絞込:リードクオリフィケーション
  • この辺は本来はマーケティング部門の仕事っぽい

f:id:daiconnnnnnn:20200816175514p:plain

セミナーの役割は?

ここまで来るとようやく分かった気がした。

要はセミナーというのは「獲得」の役割だけでなく、「育成」の役割があるのだ。

というか、「育成」を行う取り組みとしてセミナーは最適すぎる。

セミナーの目的とは - セミナーちょっと分かるver.

最初に戻るが、セミナーの実施目的は上記のとおりリードの獲得と育成だ。

なので獲得だけが目的ではないので、効率が悪くてもやる意味はあるのだ。

逆を言うとリードの育成を意識していないセミナー企画ちょっとどうなの?ということ。ぶっちゃけ自社はあまり意識していないのでアレだ。まぁいいけど。

というわけで、なんだかマーケの世界では超絶基本事項っぽいが意外と知らなかった件を書いておく。以上

補足

調べてるとマーケティングとかインサイドセールスとか色々と仕事名が出てくるが概ね以下のような役割分担があるらしい。以上。

https://roboma.io/blog/marketing/relationship-between-inside-sales-and-marketing/

f:id:daiconnnnnnn:20200816181916p:plain

 

Software Composition Analysisツールとベンダをまとめてみる

Software Composition Analysis(略してSCA)は日本語でソフトウェア構成分析、コンポジション解析などと呼ばれます。

プロダクトが利用しているOSSを明らかにして、そのセキュリティ脆弱性およびライセンスなどのリスクをマネジメントする機能を有しています。OSS時代には必須のツールですね。

というわけでどんなツールがあるのか、まとめていきましょう。

(自分が知る限りのSCAをリストアップします)

(アルファベット順でいきます)

BlackDuck(Synopsys)

https://www.synopsys.com/software-integrity/security-testing/software-composition-analysis.html

Synopsys社が提供するSCAツールです。国内でも有名で結構色々な代理店がある印象。

国内の導入事例も結構多い印象。

CAST Highlight(CAST Software)

https://www.castsoftware.com/products/highlight

CAST Softwareが提供するSCAツール。といってもSCA以外の機能もついてる。

依存関係を見る画面の見た目がかっこいい。なんか見やすそう。Trusted Byを見る限り結構有名どころの企業さんで導入されているっぽい。

国内の代理店は、多分ない。

Contrast OSS(Contrast Security)

https://www.contrastsecurity.com/open-source-security-software

Contrast Securityが提供するSCAツール。ContrastはIAST、SCA、RASPというソリューション体系でどっちかというとDevOps寄りな印象。

国内の代理店は何個かありますね。

Checkmarx Software Composition Analysis (CxSCA)(Checkmarx)

https://www.checkmarx.com/products/software-composition-analysis/

Checkmarxが提供するSCA。Checkmarxのソリューション体系はSynopsysとかと似ているんだよね。国内代理店はあるっぽい。

FlexNet Code Insight(Flexera)

https://www.revenera.com/protect/products/flexnet-code-insight.html

旧Paramida。Flexera社が提供しているが現在はReveneraというブランドで提供しているようだ。ふーん。国内代理店あり、導入事例もあるっぽい。

FOSSA(FOSSA)

https://fossa.com/

FOSSA社が提供するSCA。ライセンス管理に関してはOSS業界でも知られておりlicense scanのバッジはGitHubでたまに見る。脆弱性管理の機能も最近ついたみたい。国内代理店あり。

Nexus lifecycle(Sonatype)

https://www.sonatype.com/product-nexus-lifecycle

SonatypeはJava屋なら知ってる人多そう。最近はもっぱらDevOpsやSCAに傾倒している様子。ちなみにこっちはNexus使ってなくても使えるらしい。国内代理店はあるっぽい。

Snyk(Snyk)

https://snyk.io/

海外では結構有名なSCA。セキュリティに強い。割と安いらしく導入しやすいらしい。国内代理店はなさそう。 

Veracode Software Composition Analysis(Veracode)

https://www.veracode.com/products/software-composition-analysis

VeracodeもSynopsysやCheckmarxのようにSASTやIASTなど一通りやっているベンダ。セキュリティ強い。国内代理店あり。

WhiteHat SCA(WhiteHat Security)

https://www.whitehatsec.com/platform/software-composition-analysis/

いまやNTTグループのWhiteHatのSCAです。こちらもSASTやDASTをやってるベンダ。セキュリティに強い系ですね。

WhiteSource(WhiteSource)

https://www.whitesourcesoftware.com/

国内でも有名なSCA。イスラエルの会社ということでやはりセキュリティには強いイメージ。国内代理店あり。

Xray(JFrog)

https://jfrog.co.jp/xray/

JFrogのSCA。話によるとArtifactoryを使ってないと使えないらしい。逆を言うとArtifactory使ってる場合はこれを使うと良いかもしれない。国内のJFrogの代理店から買えそう。

yamory(ビジョナル・インキュベーション ※ビズリーチ

https://yamory.io/

国内SCAだぁぁ。ビズリーチが作ったOSS脆弱性管理製品。今はビジョナルインキュベーションという会社名になったみたい。オートトリアージ機能は特許取得済み。

付録(製品レビューサイト結果)

海外のレビュープラットフォームでSCAのページを調べた。

どんだけ信用できるかは知らんが、まぁ若干は参考になるかもしれんぬ。

 

BtoBプロダクトのレビュープラットフォームをまとめてみる

海外、特に米国ではBtoB製品の選択においてレビュープラットフォームが大きな役割を担っているらしい。日本ではまだまだだけどね。

ということでこの領域についてちょっと調べたくなったので、どんなサービスがあるのかまとめていこうと思う。随時更新。

G2

https://g2.com

おそらく一番有名?なレビュープラットフォーム。何かと出てきますね。件数は一番多そうな感じします。

Gartner peer insights

https://gartner.com/reviews/home

我らがGartner様のレビュープラットフォーム。見方によってはこちらの方が知名度があるのではないか?

trustradius

https://trustradius.com

たまに出てくる。

featuredcustomers

https://featuredcustomers.com

こちらもたまに出てきますね。

IT Central Station

https://www.itcentralstation.com

こちらもたまに出てきますね。

 

IT review

https://www.itreview.jp/

国内のレビュープラットフォーム。アイティクラウド株式会社が運営。ソフトバンク系。日本にレビュープラットフォームを根付かせようとしているらしい。掲載数はまだあまり多くはない。