Maven開発で指導的役割を果たしているSonatypeはSonatype Insightを発表し、組織のオープンソースの利用と監査を支援する企業の仲間入りを果たした。このようなサービスを提供する会社は増加している。
Sonatype Insightは3つのモジュールで成り立つ。Management InsightとApplication InsightとDevelopment Insightだ。この3つを使うことで企業がどのようなタイプのオープンソースコンポーネントを分析し、そのコンポーネントがどこから来て、ライセンスをどうするべきかを示してくれる。さらに、このパッケージを使うと、サーバにインストールされているオープンソースコンポーネントの中で、新しいコンポーネントを衝突する可能性のあるものを見つけてくれるので、システム障害や潜在的な損失を抑えることができる。
この製品はツールにとらわれない。Maven、Ant、Eclipse、Jenkins、Hudsonなどをサポートするが、Mavenのセントラルリポジトリに依存する。このリポジトリは2007年からSonatypeがメンテナンスし、また財政的な支援もしている。ここには現在、300,000以上のJavaコンポーネント(Javaのオープンソースプロジェクトの90%近く)が登録されており、同社の発表した資料によれば、1月に42,000社の企業が使い、フォーブス・グローバル2000の半分以上の企業が使っている。
セントラルリポジトリに依存しているということは、このリポジトリの統合性が最も重要になる。"セントラルリポジトリの統合性を保証する複数のセキュリティレイヤがあります"と同社の製品担当エグゼクティブ・バイス・プレジデントでるLarry Roshfeld氏は言う。
これらのレイヤは誰がコンポーネントに貢献しているかや、セントラルリポジトリへのコンポーネント追加時の検証、セントラルリポジトリをホストするサーバの物理的な安全性、コンポーネントが改ざんされていないことを保証するデジタル署名などを制御します。しかし、多くの企業の開発プロセスでセントラルリポジトリが重要な役割を担っていることを考えると、セキュリティの詳細については公の場で詳しく説明できません。
オープンソースのコンポーネントは広く普及している。Gartnerの"CIOのためのオープンソースソフトウエア"というレポートによれば、2016年までに、フォーブス・グローバル2000の99%のミッションクリティカルなシステムでオープンソースが使われる。2010年は75%だった。
調査会社は長らく、オープンソースにはリスクがつきものだと主張してきた。GartnerのリサーチディレクターであるLaurie Wurster氏は2008年、次のように書いている。
無料であるということはコストがないということを意味しません。企業はOSS入手のポリシーやどのアプリケーションでOOSを使うかの意思決定が必要です。また、OSS利用に関わる知財リスクやサポートが受けられるかどうかについてもはっきりさせておく必要があります。このようなポリシーを策定したら確実に遵守するようにしなければなりません。
先に詳解したCIOのためのレポートでGartnerのリサーチバイスプレジデントであるMark Driver氏も同様の指摘をしている。
ガバナンスの仕組みとそれに基づく管理方針がなければ、IT部門は企業で利用されたり、不要になったりするオープンソースの資産の管理、監査はできません。また、広いITポートフォリオの中での適切なオープンソース資産の活用を評価できません。せいぜい、何事かが発生した後に、その場しのぎにリスク(例えば、破滅的な技術障害)に対応することができるだけです。
Linux財団はいくつかの組織やソフトウエア企業と共に、SPDX(これを書いている時点でサイトはダウンしている)と呼ばれる機械が読めるライセンス標準を作成しようとしている。これは、どのソフトウエアコンポーネントとライセンスがそのパッケージに関連しているかを明確にするのに役立つ。この標準は Black DuckやProtecodeのようなコードスキャニング技術を提供する企業もサポートしている。これらの企業は運用中のソフトウエアをスキャンすることで、エンドユーザに提供しているものが適切なライセンスであるかどうかを確かめるためのプログラムを提供する。Sonatypeもこの標準をサポートしているが、Roshfeld氏は次のように言う。
私たちが追跡している300,000を超えるオープンソースプロジェクトの中で、この標準を実装しているのはそれほど多くはありません。したがって、私たちは複数の技術を使ってコンポーネントのライセンスを確認しています。POM (Project Object Model)をスキャンしたり、ソースコードをスキャンしたりしています。
Insightは他のスキャンツールとは違い、開発プロセスの各段階に直接統合される。Roshfeld氏曰く、
Black Duckが提供するようなスキャナは法務やコンプライアンスの見地から、開発ライフサイクルの最後に適用されます。このスキャン作業は長時間かかり、膨大な情報を生成し、コードに真の問題があるかどうかをたくさんの手動調査で特定しなければなりません。そして、問題が見つかると、IT部門は膨大な作業のやり直しが発生し、プロジェクトのコストは膨れ上がり、リリーススケジュールは遅れます。一方、Insightは開発者と開発管理用に作られています。高速で正確で、いつでも問題を見つけることができます。私たちの顧客の多くはInsightとスキャナの両方を使っています。もうひとつ重要なのは、私たちがほとんどの開発者がオープンソースコンポーネントを求めにくるセントラルリポジトリの管理人であるということです。これはユニークな優位点であり、コンポーネントの利用にも更新にも気付くことができます。どのようなコンポーネントがダウンロードされているか、どのコンポーネントがいつどのような理由で更新されたのか、把握できるのです。
Management InsightとDevelopment Insightはユーザ数で課金される。Application Insightは監視、分析対象のアプリケーションの数で課金される。Sonatypeによれば、年間サブスクリプションが20,000ドル以下で入手できるそうだ。