組織拡大に伴うOSS管理をyamoryで効率化！！

ツール導入前の課題

• 弊社内の各サービスが利用しているOSSの脆弱性やEOLは手動で管理しており、情報収集にかなりの時間を要していました。
• OSSライセンス管理も各種ツールを複数組み合わせて使っており、手順が複雑で効率が悪かったです。

どのような状態を目指していたか

• 利用しているOSSの脆弱性やEOLの情報収集のコストおよび、OSSのライセンス管理のコストを減らしたいと思っていました。

• Dependabot
• FutureVuls CSIRT
• SIDfm
• OWASP Dependency-Track

• 利用OSSを楽に管理できるか（登録や削除などの手間）
• 利用OSSの脆弱性情報を素早く収集できるか
• 利用OSSのライセンス情報を素早く収集できるか
• システムが利用するパッケージ管理との親和性

他の製品と比べ、弊社で利用しているパッケージ管理ツールとの相性が良さが決め手となりました。

改善したかった課題はどれくらい解決されたか

パッケージ管理を利用している箇所については想定通り稼働を減らせています。
OSSライセンスも一元管理できるので、ライセンス調査工数も大きく削減できました。
パッケージ管理を利用していない箇所について、運用が複雑になっており課題が残っています。

どのような成果が得られたか

脆弱性やライセンス情報の収集の手間を相当削減できました。
今まで、OSSの管理がサービス毎でしかできておらず、サービス内で1つのOSSを複数利用している場合に管理が出来ていませんでしたが、yamoryではパッケージ管理毎に管理できるので、全て管理できるようになりました。

社内の全サービスに対して導入したのですが、弊社内には運用年数が長いサービスも存在します。
これら長寿なサービスでは各種ライブラリを直接Gitに配置して利用していますが、このような場合アプリスキャン機能を利用できないため導入にひと手間かかりました。
IT資産管理機能を使うことを最初考えましたが、この場合脆弱性情報は取れるもののOSSの管理が手動になることもありやや利便性が落ちるのが嫌でした。検討の結果、パッケージ管理の定義ファイルを作成する等してなるべくアプリスキャンを利用するように寄せていきました。

よほど古くから運用しているシステムとかでない限りスムーズに導入できます。
弊社はオンプレが主ですが、クラウド用の機能がどんどん追加されており、クラウド基盤を利用している場合はもっと楽に管理できそうです。

まだ運用開始から日が浅いので、暫くは細かな運用を調整していく予定です。
yamoryのアップデートは早く、次々に便利な機能が搭載されているので、新機能に合わせてチューンナップしていていければと考えています。