ソフトウェア開発のサプライチェーン攻撃の事例をまとめておく
Goアプリが利用しているOSSのライセンス一覧を生成するやーつが一杯あるねって話
って話で、メモっておきたいと思います。
go-licenses
言わずと知れたGoogle様のツールであります。
https://github.com/google/go-licenses
gocredits
日本語記事があったのはこれくらいだったと思う。依存ライブラリのライセンス文をひとまとめにしてくれるツール。わーい。
https://github.com/Songmu/gocredits
依存ライブラリのLICENSE同梱のためのgocreditsというツールを作った | おそらくはそれさえも平凡な日々
glice
なかなかGitHubスターが多い。これもチェックかと。
https://github.com/ribice/glice
golicense
バイナリ向け?っぽい。スターが結構多いね。
Androidアプリで利用しているOSSライセンスの一覧生成ツールが死ぬほどある件
本当めっちゃありますね。ここにメモっておきたいと思います。
oss-licenses-plugin
言わずとしれたGoogleさんのやーつです。はい。
本家:https://github.com/google/play-services-plugins/tree/master/oss-licenses-plugin
参考:https://tech.trilltrill.jp/entry/2020/10/27/181937
LicenseToolsPlugin
cookpadさんのGradle pluginです。これも言わずと知れたやーつかなと。
本家:https://github.com/cookpad/LicenseToolsPlugin
参考:https://techlife.cookpad.com/entry/2020/01/16/090000
AboutLibraries
結構使われているやーつ。GitHubスターからすると一番人気か?
本家:https://github.com/mikepenz/AboutLibraries
参考:https://cutmail.hatenablog.com/?page=1472744061
license-list-plugin
日本人の方が作っている。良さそう。
本家:https://github.com/jmatsu/license-list-plugin
参考:https://speakerdeck.com/syarihu/license-list-plugin
LicenseDialog
クレジット表示のダイアログを簡単に作れるJavaライブラリです。シンプルisベスト感。
本家:https://github.com/PSDev/LicensesDialog
参考:https://backport.net/blog/2016/07/30/licenses_dialog/
随時追加していきまふ。
「このファイルのOSSライセンス何?」を解析するツールなど
世の中には色々なOSSライセンスがありますが、「これ何ライセンスだ?」というタイミングは山ほどあると思います。
今回はそのような場合に使えるツールをまとめます。随時更新。
askalono
(もともとamazonがホストしていた気がするが…)
https://github.com/jpeddicord/askalono
Sørensen–Dice を算出してライセンスの候補を出すスキャンツールです。Rustで書かれてる。
実行イメージなんかはこちらに書いてある。なんだか使えそうだね。
参考:askalono - オープンソース・ソフトウェアのライセンスを特定 MOONGIFT
lc
licensecheckerの略らしい。Go製。ブログはこちら。
go-license-detector
なるものがあるらしい。なんだかとても精度が高いようです。
https://github.com/src-d/go-license-detector
以下ブログで紹介されていた。
https://labs.cybozu.co.jp/blog/akky/2019/01/go-license-detector-tells-you-license-from-source-codes/
licensee
https://github.com/licensee/licensee
GItHub社製のツールらしい。Ruby実装。ライセンス検知。どうもlicensedのライセンスファイル検索で使われているようだ。
参考:licenseeをインストールしてライセンス情報を取得する - やってみる
ScanCode toolkit
https://github.com/nexB/scancode-toolkit
nexB社製。有名らしい。
FOSSology
言わずと知れたやつ。ハンズオンの資料とかはこちらにある。
Monk
https://github.com/fossology/fossology/wiki/Monk
FOSSologyのエンジンの一つ。
テキスト類似度による検出。精度は高い。
Nomos
https://github.com/fossology/fossology/wiki/Nomos
FOSSologyのエンジンの一つ。
正規表現による検出。精度は高くない。
ninka
http://ninka.turingmachine.org/
https://github.com/dmgerman/ninka
日本人の方(Yuki Manabeさん)もAuthorになっている。調べると論文とか出てきて面白い。FOSSologyからも使えるようだ(インストールしてる場合のみ)。
Atarashi
https://www.slideshare.net/ShaneCoughlan3/fossology-two-new-approaches-for-license-scanning
FOSSologyにプルリクが行われているという、ライセンススキャナ。機械学習らしい。ちなみに名前の由来はやはり日本語らしい。
licenseclassifier
https://github.com/google/licenseclassifier
Google製。
LiD
https://source.codeaurora.org/external/qostg/lid
Linux Foundationが持っているやつっぽい。
最後に
どうやらスキャナーを比較するプロジェクトもあるようである。今は動いていないようだ。
セミナー企画(BtoB)したことない奴がセミナーをやる意味について調べたのでまとめてみた
先日、自社製品のセミナー企画をやらされたんですよ。初めてやったんですけどね。
その時に「セミナーって何でやってるんだろうなぁ」と思ってしまったのですよね。
製品を売るためってのは分かってるんだけど、だったらセミナーより良い方法はいくらでもあるだろと。投資対効果が微妙なんじゃないかと。
というわけで色々調べたら知らないことが色々出てきたのでこちらに書いておこうと思う。初心者の参考になれば良き。
セミナーの目的とは - 何も知らないver.
基本的には、
「リード(見込み顧客)を収集する」
というのが目的になるだろう。これは何も疑いようがなく思える。
ただ自分の場合はなんか気持ち悪かった。リードの収集ならもっと効率良い方法があるだろうと。なので一回いろいろ調べることにした。
そもそも見込み顧客(リード)ってなんだ
とにかく、まずはこれだ。
リードなんてのは完全に理解していると皆が思っているが、意外と奥が深い(気がする)。調べていくとマーケティングの世界には以下の用語があることに気づく。
- 潜在顧客
- 顕在顧客
- 見込み顧客
潜在顧客
- 自社の製品・サービスを知らない顧客
- 存在を知れば購入や利用の可能性のある顧客
- 自分のニーズを認識している場合、していない場合がある
顕在顧客
- 自分のニーズを理解している顧客
- 自社の製品・サービスを知っている顧客
見込み顧客(リード)
- 企業によって用語の定義が異なる
- 顕在顧客と定義したり、顕在/潜在両方と定義したり
- 将来のクライアントになる可能性があるという点は一致
リードの本来の活用方法は?
やはりセミナーをやるからにはこれを理解する必要があった。リードの活用方法は以下らしい。
- 「獲得」して「育成」して「絞り込み」するもの
- 獲得:リードジェネレーション
- 育成:リードナーチャリング
- 絞込:リードクオリフィケーション
- この辺は本来はマーケティング部門の仕事っぽい
セミナーの役割は?
ここまで来るとようやく分かった気がした。
要はセミナーというのは「獲得」の役割だけでなく、「育成」の役割があるのだ。
というか、「育成」を行う取り組みとしてセミナーは最適すぎる。
セミナーの目的とは - セミナーちょっと分かるver.
最初に戻るが、セミナーの実施目的は上記のとおりリードの獲得と育成だ。
なので獲得だけが目的ではないので、効率が悪くてもやる意味はあるのだ。
逆を言うとリードの育成を意識していないセミナー企画ちょっとどうなの?ということ。ぶっちゃけ自社はあまり意識していないのでアレだ。まぁいいけど。
というわけで、なんだかマーケの世界では超絶基本事項っぽいが意外と知らなかった件を書いておく。以上
補足
調べてるとマーケティングとかインサイドセールスとか色々と仕事名が出てくるが概ね以下のような役割分担があるらしい。以上。
https://roboma.io/blog/marketing/relationship-between-inside-sales-and-marketing/
Software Composition Analysisツールとベンダをまとめてみる
Software Composition Analysis(略してSCA)は日本語でソフトウェア構成分析、コンポジション解析などと呼ばれます。
プロダクトが利用しているOSSを明らかにして、そのセキュリティ脆弱性およびライセンスなどのリスクをマネジメントする機能を有しています。OSS時代には必須のツールですね。
というわけでどんなツールがあるのか、まとめていきましょう。
(自分が知る限りのSCAをリストアップします)
(アルファベット順でいきます)
BlackDuck(Synopsys)
https://www.synopsys.com/software-integrity/security-testing/software-composition-analysis.html
Synopsys社が提供するSCAツールです。国内でも有名で結構色々な代理店がある印象。
国内の導入事例も結構多い印象。
CAST Highlight(CAST Software)
https://www.castsoftware.com/products/highlight
CAST Softwareが提供するSCAツール。といってもSCA以外の機能もついてる。
依存関係を見る画面の見た目がかっこいい。なんか見やすそう。Trusted Byを見る限り結構有名どころの企業さんで導入されているっぽい。
国内の代理店は、多分ない。
Contrast OSS(Contrast Security)
https://www.contrastsecurity.com/open-source-security-software
Contrast Securityが提供するSCAツール。ContrastはIAST、SCA、RASPというソリューション体系でどっちかというとDevOps寄りな印象。
国内の代理店は何個かありますね。
Checkmarx Software Composition Analysis (CxSCA)(Checkmarx)
https://www.checkmarx.com/products/software-composition-analysis/
Checkmarxが提供するSCA。Checkmarxのソリューション体系はSynopsysとかと似ているんだよね。国内代理店はあるっぽい。
FlexNet Code Insight(Flexera)
https://www.revenera.com/protect/products/flexnet-code-insight.html
旧Paramida。Flexera社が提供しているが現在はReveneraというブランドで提供しているようだ。ふーん。国内代理店あり、導入事例もあるっぽい。
FOSSA(FOSSA)
FOSSA社が提供するSCA。ライセンス管理に関してはOSS業界でも知られておりlicense scanのバッジはGitHubでたまに見る。脆弱性管理の機能も最近ついたみたい。国内代理店あり。
Nexus lifecycle(Sonatype)
https://www.sonatype.com/product-nexus-lifecycle
SonatypeはJava屋なら知ってる人多そう。最近はもっぱらDevOpsやSCAに傾倒している様子。ちなみにこっちはNexus使ってなくても使えるらしい。国内代理店はあるっぽい。
Snyk(Snyk)
海外では結構有名なSCA。セキュリティに強い。割と安いらしく導入しやすいらしい。国内代理店はなさそう。
Veracode Software Composition Analysis(Veracode)
https://www.veracode.com/products/software-composition-analysis
VeracodeもSynopsysやCheckmarxのようにSASTやIASTなど一通りやっているベンダ。セキュリティ強い。国内代理店あり。
WhiteHat SCA(WhiteHat Security)
https://www.whitehatsec.com/platform/software-composition-analysis/
いまやNTTグループのWhiteHatのSCAです。こちらもSASTやDASTをやってるベンダ。セキュリティに強い系ですね。
WhiteSource(WhiteSource)
https://www.whitesourcesoftware.com/
国内でも有名なSCA。イスラエルの会社ということでやはりセキュリティには強いイメージ。国内代理店あり。
Xray(JFrog)
JFrogのSCA。話によるとArtifactoryを使ってないと使えないらしい。逆を言うとArtifactory使ってる場合はこれを使うと良いかもしれない。国内のJFrogの代理店から買えそう。
yamory(ビジョナル・インキュベーション ※ビズリーチ)
国内SCAだぁぁ。ビズリーチが作ったOSS脆弱性管理製品。今はビジョナルインキュベーションという会社名になったみたい。オートトリアージ機能は特許取得済み。
付録(製品レビューサイト結果)
海外のレビュープラットフォームでSCAのページを調べた。
どんだけ信用できるかは知らんが、まぁ若干は参考になるかもしれんぬ。
- G2
- Gartner peer insights
https://www.gartner.com/reviews/market/software-composition-analysis-sca
- trustradius
- featuredcustomers
https://www.featuredcustomers.com/software/software-composition-analysis-solutions/all
- IT Central Station
https://www.itcentralstation.com/categories/software-composition-analysis-sca
BtoBプロダクトのレビュープラットフォームをまとめてみる
海外、特に米国ではBtoB製品の選択においてレビュープラットフォームが大きな役割を担っているらしい。日本ではまだまだだけどね。
ということでこの領域についてちょっと調べたくなったので、どんなサービスがあるのかまとめていこうと思う。随時更新。
G2
おそらく一番有名?なレビュープラットフォーム。何かと出てきますね。件数は一番多そうな感じします。
Gartner peer insights
https://gartner.com/reviews/home
我らがGartner様のレビュープラットフォーム。見方によってはこちらの方が知名度があるのではないか?
trustradius
たまに出てくる。
featuredcustomers
こちらもたまに出てきますね。
IT Central Station
https://www.itcentralstation.com
こちらもたまに出てきますね。
IT review
国内のレビュープラットフォーム。アイティクラウド株式会社が運営。ソフトバンク系。日本にレビュープラットフォームを根付かせようとしているらしい。掲載数はまだあまり多くはない。