特許ウォッチ

公開番号2025002430
公報種別公開特許公報(A)
公開日2025-01-09
出願番号2023102604
出願日2023-06-22
発明の名称ソフトウェア管理システム
出願人株式会社日立製作所
代理人青稜弁理士法人
主分類G06F 8/70 20180101AFI20241226BHJP(計算;計数)
要約【課題】プロジェクトに利用されるOSSの開発ステータスを含むOSSの利用状況を把握できるソフトウェア管理システムを提供する。
【解決手段】ソフトウェア管理システムの情報処理装置は、ソースコードリポジトリに格納されたプログラムのソースコードの変更が承認されコミットされた場合において、プログラムのソースコードの変更箇所に含まれるOSSに関する情報であるOSS一覧を取得する。情報処理装置は、OSS一覧に含まれるOSSの開発ステータスを、ソースコードの変更を承認した承認ユーザのロール又はコード差分量に基づいて判定し、判定したOSSの開発ステータスとOSSの識別情報とを、OSS利用状況情報として記憶装置に格納する。
【選択図】図1
特許請求の範囲【請求項１】
プロジェクトを構成するプログラムのソースコードが格納されるソースコードリポジトリが格納された第１記憶装置を有し、前記ソースコードの変更履歴を管理するリポジトリサーバと、
ユーザのロールを含むユーザに関する情報であるユーザ情報が格納される第２記憶装置を含む管理サーバと、
前記プロジェクトに利用されているＯＳＳの利用状況を示すＯＳＳ利用状況情報が格納される第３記憶装置を含む社内情報管理サーバと、
前記リポジトリサーバ、前記管理サーバ及び前記社内情報管理サーバと互いに情報を送受信可能に構成された情報処理装置と、
を有するソフトウェア管理システムであって、
前記情報処理装置は、
前記ソースコードリポジトリに格納された前記プログラムの前記ソースコードの変更が承認ユーザによって承認されてコミットされた場合において、前記プログラムの前記ソースコードの変更箇所に含まれる前記ＯＳＳに関する情報であるＯＳＳ一覧を取得し、
前記ＯＳＳ一覧に含まれる前記ＯＳＳの開発ステータスを、前記ユーザ情報に基づく前記承認ユーザのロール又は前記ソースコードの変更履歴に基づくコード差分量に基づいて判定し、
判定した前記ＯＳＳの前記開発ステータスと前記ＯＳＳの識別情報とを、前記ＯＳＳ利用状況情報として前記第３記憶装置に格納する、
ように構成された、
ソフトウェア管理システム。
続きを表示（約 1,900 文字）【請求項２】
請求項１に記載のソフトウェア管理システムにおいて、
前記第３記憶装置には、前記プロジェクトで利用されている前記ＯＳＳに関するＯＳＳ情報が格納され、
前記情報処理装置は、
前記ＯＳＳの前記開発ステータスを判定した後、前記ＯＳＳ情報を参照して、判定した前記ＯＳＳと同等のＯＳＳが前記ＯＳＳ情報にある場合、前記ＯＳＳ利用状況情報の判定した前記ＯＳＳと同等のＯＳＳに対応する前記開発ステータスを、判定した前記開発ステータスにより更新し、
判定した前記ＯＳＳと前記同等のＯＳＳが前記ＯＳＳ情報にない場合、判定した前記ＯＳＳの識別情報を含む前記ＯＳＳに関する情報を、前記ＯＳＳ情報として、前記第３記憶装置に格納する、
ように構成された、
ソフトウェア管理システム。
【請求項３】
請求項１に記載のソフトウェア管理システムにおいて、
前記情報処理装置は、
前記ＯＳＳの脆弱性に関するＯＳＳ脆弱性情報を取得し、
前記ＯＳＳ脆弱性情報及び前記開発ステータスに基づいて、前記ＯＳＳが利用される前記プロジェクトの脆弱性に対する是正の必要性の程度を示す要是正指標を計算する、
ように構成された、
ソフトウェア管理システム。
【請求項４】
請求項３に記載のソフトウェア管理システムにおいて、
前記ＯＳＳの脆弱性に対する対策を含む前記ＯＳＳ脆弱性情報が格納された第４記憶装置を含む脆弱性情報提供サーバを有し、
前記情報処理装置は、
前記ＯＳＳ脆弱性情報を前記脆弱性情報提供サーバから取得し、
前記ＯＳＳ脆弱性情報及び前記開発ステータスに基づいて、前記要是正指標及び前記要是正指標に応じた前記対策に基づく推奨アクションを決定する、
ように構成された、
ソフトウェア管理システム。
【請求項５】
請求項４に記載のソフトウェア管理システムにおいて、
前記第３記憶装置には、前記プロジェクトに関する情報であるプロジェクト情報が格納され、
前記情報処理装置は、
計算した前記要是正指標を前記プロジェクトの識別情報に対応付けて、前記プロジェクト情報として、前記第３記憶装置に格納する、
ように構成された、
ソフトウェア管理システム。
【請求項６】
請求項４に記載のソフトウェア管理システムにおいて、
前記ＯＳＳ脆弱性情報は、脆弱性の程度を示す脆弱性スコアを含み、
前記情報処理装置は、
前記開発ステータスに応じた傾斜値と、前記脆弱性スコアとを乗じた値に基づいて、前記要是正指標を計算する、
ように構成された、
ソフトウェア管理システム。
【請求項７】
請求項６に記載のソフトウェア管理システムにおいて、
前記要是正指標は、是正の必要性の程度に応じて複数の段階に分けられた指標であり、
前記情報処理装置は、
前記脆弱性スコアが閾値スコア以上である場合、前記要是正指標を脆弱性が最も大きいことを示す段階の指標に計算し、
前記脆弱性スコアが前記閾値スコアより小さい場合、前記開発ステータスに応じた傾斜値と、前記脆弱性スコアとを乗じた値に基づいて、前記要是正指標を計算する、
ように構成された、
ソフトウェア管理システム。
【請求項８】
請求項７に記載のソフトウェア管理システムにおいて、
前記傾斜値は、前記開発ステータスが後工程になるほど大きくなる値である
ソフトウェア管理システム。
【請求項９】
請求項１に記載のソフトウェア管理システムにおいて、
前記情報処理装置は、
前記ＯＳＳ利用状況情報を示す画像を、表示装置を含む外部装置に出力し、前記表示装置に前記ＯＳＳ利用状況情報を示す画像を表示する、
ように構成された、
ソフトウェア管理システム。
【請求項１０】
請求項５に記載のソフトウェア管理システムにおいて、
前記情報処理装置は、
前記プロジェクト情報を示す画像を、表示装置を含む外部装置に出力し、前記表示装置に前記プロジェクト情報を示す画像を表示する、
ように構成された、
ソフトウェア管理システム。
（【請求項１１】以降は省略されています）
発明の詳細な説明【技術分野】
【０００１】
本発明は、ソフトウェア管理システムに関する。
続きを表示（約 2,300 文字）【背景技術】
【０００２】
特許文献１は、ソフトウェアの脆弱性を検出する情報処理装置（以下、「従来技術」と称呼される。）を開示する。この情報処理装置は、ソフトウェアの複数のバージョンとそれぞれの更新履歴に基づいて、脆弱性を含むバージョンを判断する。
【先行技術文献】
【特許文献】
【０００３】
特開２０２３－７１６９号公報
【発明の概要】
【発明が解決しようとする課題】
【０００４】
ＱＡ担当者は、特定の組織内で使用されているＯＳＳ（Open Source Software（オープンソフトウェア））に含まれている脆弱性について、脆弱性が含まれるＯＳＳが使用されている案件、成果物及び開発工程を網羅的にタイムリーに把握する必要がある。
【０００５】
従来技術では、ソフトウェアの複数バージョンと各バージョンに含まれる脆弱性を検出しているが、各バージョンの開発工程別に含まれる脆弱性に関する情報は、提供されていない。このため、特定バージョンのソフトウェアが有する脆弱性は把握できるが、そのバージョンの開発ステータス（例えば、開発の途中のどの段階であるのか、リリース後であるのか）がわからない。
【０００６】
本発明は上記課題を解決するためになされた。即ち、本発明の目的の一つは、プロジェクトに利用されるＯＳＳの開発ステータスを含むＯＳＳの利用状況を把握できるソフトウェア管理システムを提供することにある。
【課題を解決するための手段】
【０００７】
上記課題を解決するために、本発明のソフトウェア管理システムは、プロジェクトを構成するプログラムのソースコードが格納されるソースコードリポジトリが格納された第１記憶装置を有し、前記ソースコードの変更履歴を管理するリポジトリサーバと、ユーザのロールを含むユーザに関する情報であるユーザ情報が格納される第２記憶装置を含む管理サーバと、前記プロジェクトに利用されているＯＳＳの利用状況を示すＯＳＳ利用状況情報が格納される第３記憶装置を含む社内情報管理サーバと、前記リポジトリサーバ、前記管理サーバ及び前記社内情報管理サーバと互いに情報を送受信可能に構成された情報処理装置と、を有するソフトウェア管理システムであって、前記情報処理装置は、前記ソースコードリポジトリに格納された前記プログラムの前記ソースコードの変更が承認ユーザによって承認されてコミットされた場合において、前記プログラムの前記ソースコードの変更箇所に含まれる前記ＯＳＳに関する情報であるＯＳＳ一覧を取得し、前記ＯＳＳ一覧に含まれる前記ＯＳＳの開発ステータスを、前記ユーザ情報に基づく前記承認ユーザのロール又は前記ソースコードの変更履歴に基づくコード差分量に基づいて判定し、判定した前記ＯＳＳの前記開発ステータスと前記ＯＳＳの識別情報とを、前記ＯＳＳ利用状況情報として前記第３記憶装置に格納する、ように構成される。
【発明の効果】
【０００８】
本発明によれば、プロジェクトに利用されるＯＳＳの開発ステータスを含むＯＳＳの利用状況を把握できる。なお、ここに記載された効果は必ずしも限定されるものではなく、本開示中に記載された何れかの効果であってもよい。
【図面の簡単な説明】
【０００９】
図１は本発明の第１実施形態に係るソフトウェア管理システムを含むシステムの構成例を示すシステム構成図である。
図２は情報処理装置のハードウェア構成の例を示す図である。
図３は情報処理装置が有するコード差分テーブルを説明するための図である。
図４は情報処理装置が有するＯＳＳ利用状況テーブルを説明するための図である。
図５は管理サーバが有する有するユーザ情報テーブルを説明するための図である。
図６は管理サーバが有する更新履歴情報テーブルを説明するための図である。
図７は社内情報管理サーバが有するＯＳＳ情報テーブルを説明するための図である。
図８は社内情報管理サーバが有するプロジェクト情報テーブルを説明するための図である。
図９は社内情報管理サーバが有するＯＳＳ利用状況テーブルを説明するための図である。
図１０はシステムの全体動作を説明するための図である。
図１１は情報処理装置が実行する工程判定処理の処理フローを示すフローチャートである。
図１２は第２実施形態に係るソフトウェア管理システムの情報処理装置が実行する工程判定処理の処理フローを示すフローチャートである。
図１３は第３実施形態に係るソフトウェア管理システムを含むシステムの構成例を示すシステム構成図である。
図１４は社内情報管理サーバが有するＯＳＳ脆弱性情報テーブルを説明するための図である。
図１５は情報処理装置が実行する処理フローを示すフローチャートである。
図１６は情報処理装置が実行する処理フローを示すフローチャートである。
図１７Ａはプロジェクト一覧画面の一例を示す図である。
図１７Ｂはソフトウェアの一覧を示すＯＳＳ利用状況一覧画面Ｇの一例を示す図である。
【発明を実施するための形態】
【００１０】
以下、本発明の各実施形態について図面を参照しながら説明する。なお、実施形態の全図において、同一又は対応する部分には同一の符号を付す場合がある。
（【００１１】以降は省略されています）

関連特許