特許ウォッチ

公開番号2025067126
公報種別公開特許公報(A)
公開日2025-04-24
出願番号2023176844
出願日2023-10-12
発明の名称対策グループ編成支援装置及び方法
出願人株式会社東芝
代理人弁理士法人スズエ国際特許事務所
主分類G06F 8/70 20180101AFI20250417BHJP(計算;計数)
要約【課題】ソフトウェアにおいて発生した脆弱性に対する対策を実施する対策グループの編成を支援することが可能な対策チーム編成支援装置及び方法を提供することにある。
【解決手段】実施形態によれば、第1ソフトウェアにおいて発生した第1脆弱性に対する対策グループの編成を支援する対策グループ編成支援装置が提供される。第1取得手段は、第1脆弱性に関する第1脆弱性情報を取得する。格納手段は、第2ソフトウェアにおいて発生した第2脆弱性に対する対応方法情報を格納する。検索手段は、第1脆弱性に類似する第2脆弱性に対する対応方法情報を検索する。第2取得手段は、複数の第1開発者のコミット情報を取得する。第1計算手段は、検索された対応方法情報の第1パッチ及び取得されたコミット情報の第2パッチに基づいて対策グループへの適切度を計算する。出力手段は、計算された適切度を含む第1開発者の各々に関する第1開発者情報を出力する。
【選択図】図1
特許請求の範囲【請求項１】
複数の第１開発者が所属するコミュニティにおいて開発された第１ソフトウェアにおいて発生した第１脆弱性に対する対策を実施するための対策グループの編成を支援する対策グループ編成支援装置において、
前記第１脆弱性に関する第１脆弱性情報を取得する第１取得手段と、
第２ソフトウェアにおいて発生した第２脆弱性に対する対応方法を示す対応方法情報であって、当該第２脆弱性に関する第２脆弱性情報及び当該第２脆弱性に対して作成された第１パッチを含む修正情報を対応づけて含む対応方法情報を格納する格納手段と、
前記第１脆弱性情報に基づいて、前記第１脆弱性に類似する第２脆弱性に対する対応方法を示す対応方法情報を前記格納手段から検索する検索手段と、
第３ソフトウェアに対する前記複数の第１開発者のコミットに関するコミット情報であって、当該コミットにおいて作成された第２パッチを含むコミット情報を取得する第２取得手段と、
前記検索された対応方法情報に含まれる修正情報に含まれる第１パッチ及び前記取得されたコミット情報に含まれる第２パッチの類似度に基づいて、前記第１開発者毎に、前記対策グループへの適切度を計算する第１計算手段と、
前記計算された適切度を含む前記第１開発者の各々に関する第１開発者情報を出力する出力手段と
を具備する対策グループ編成支援装置。
続きを表示（約 1,400 文字）【請求項２】
前記第１脆弱性情報は、前記第１脆弱性が発生した箇所を含む第１ソースコード及び当該第１脆弱性を説明する第１説明文を含み、
前記第２脆弱性情報は、前記第２脆弱性を説明する第２説明文を含み、
前記修正情報は、前記第１パッチが適用される前の第２ソースコードを含み、
前記検索手段は、前記第１及び第２ソースコードの類似度と前記第１及び第２説明文の類似度とに基づいて、前記対応方法情報を検索する
請求項１記載の対策グループ編成支援装置。
【請求項３】
前記コミット情報は、前記コミットを説明する第３説明文を含み、
前記第１計算手段は、前記検索された対応方法情報に含まれる第２脆弱性情報に含まれる第２説明文及び前記コミット情報に含まれる第３説明文の類似度に基づいて、前記適切度を計算する
請求項２記載の対策グループ編成支援装置。
【請求項４】
前記取得されたコミット情報に含まれる第２パッチにおいて前記第１ソースコードを編集した行数に基づいて、前記第１開発者毎に、当該第１ソースコードに対する習熟度を計算する第２計算手段を更に具備し、
前記第１開発者情報は、前記計算された習熟度を含む
請求項３記載の対策グループ編成支援装置。
【請求項５】
抽出手段を更に具備し、
前記修正情報は、前記第１パッチを作成した第２開発者を示す修正者情報を含み、
前記抽出手段は、前記検索された対応方法情報に含まれる修正情報から前記修正者情報によって示される第２開発者を抽出し、
前記出力手段は、前記抽出された第２開発者に関する第２開発者情報を出力する
請求項４記載の対策グループ編成支援装置。
【請求項６】
前記出力手段は、前記第１開発者情報を含む第１画面及び前記第２開発者情報を含む第２画面を表示する表示処理手段を含む請求項５記載の対策グループ編成支援装置。
【請求項７】
前記第１開発者情報は、前記第１開発者が前記対策グループのメンバーとして推薦される理由が記述された第１テキストを含み、
前記第２開発者情報は、前記第２開発者が前記対策グループのメンバーとして推薦される理由が記述された第２テキストを含む
請求項６記載の対策グループ編成支援装置。
【請求項８】
前記第１開発者情報は、前記第１開発者が開発を経験したことがあるソフトウェア及び当該第１開発者が使用したことがあるプログラミング言語を示す情報を含み、
前記第２開発者情報は、前記第２開発者が開発を経験したことがあるソフトウェア及び当該第２開発者が使用したことがあるプログラミング言語を示す情報を含む
請求項７記載の対策グループ編成支援装置。
【請求項９】
前記表示処理手段は、前記対策グループ編成支援装置を使用するユーザの操作に応じて前記第１及び第２画面を切り替えて表示する請求項８記載の対策グループ編成支援装置。
【請求項１０】
前記対策グループ編成支援装置を使用するユーザの操作に応じて前記対策グループの編成に関する処理を実行する編成処理手段を更に具備する請求項９記載の対策グループ編成支援装置。
（【請求項１１】以降は省略されています）
発明の詳細な説明【技術分野】
【０００１】
本発明の実施形態は、対策グループ編成支援装置及び方法に関する。
続きを表示（約 2,300 文字）【背景技術】
【０００２】
一般に、オープンソースソフトウェア（ＯＳＳ）のようなソフトウェアの開発等を目的とした複数の開発者が所属するコミュニティにおいては、当該ソフトウェアにおいて脆弱性（セキュリティ上の欠陥または不具合等）が発生した際に、当該脆弱性に対する対策を実施するための対策グループ（セキュリティチーム）を編成する場合がある。
【０００３】
この場合、コミュニティのリーダーは、例えば発生した脆弱性に対応することが可能な開発者（内部開発者及び外部開発者）を探索及び選出することによって対策グループを編成することができる。
【０００４】
しかしながら、コミュニティのリーダーがセキュリティに関する十分な知識を有していないような場合には、適切な対策グループを編成することが困難である。
【先行技術文献】
【特許文献】
【０００５】
特許第７０５８１８３号公報
特開２００５－１５７６３０号公報
【発明の概要】
【発明が解決しようとする課題】
【０００６】
そこで、本発明が解決しようとする課題は、ソフトウェアにおいて発生した脆弱性に対する対策を実施する対策グループの編成を支援することが可能な対策チーム編成支援装置及び方法を提供することにある。
【課題を解決するための手段】
【０００７】
実施形態によれば、複数の第１開発者が所属するコミュニティにおいて開発された第１ソフトウェアにおいて発生した第１脆弱性に対する対策を実施するための対策グループの編成を支援する対策グループ編成支援装置が提供される。前記対策グループ編成支援装置は、第１取得手段と、格納手段と、検索手段と、第２取得手段と、第１計算手段と、出力手段とを具備する。前記第１取得手段は、前記第１脆弱性に関する第１脆弱性情報を取得する。前記格納手段は、第２ソフトウェアにおいて発生した第２脆弱性に対する対応方法を示す対応方法情報であって、当該第２脆弱性に関する第２脆弱性情報及び当該第２脆弱性に対して作成された第１パッチを含む修正情報を対応づけて含む対応方法情報を格納する。前記検索手段は、前記第１脆弱性情報に基づいて、前記第１脆弱性に類似する第２脆弱性に対する対応方法を示す対応方法情報を前記格納手段から検索する。前記第２取得手段は、第３ソフトウェアに対する前記複数の第１開発者のコミットに関するコミット情報であって、当該コミットにおいて作成された第２パッチを含むコミット情報を取得する。前記第１計算手段は、前記検索された対応方法情報に含まれる修正情報に含まれる第１パッチ及び前記取得されたコミット情報に含まれる第２パッチの類似度に基づいて、前記第１開発者毎に、前記対策グループへの適切度を計算する。前記出力手段は、前記計算された適切度を含む前記第１開発者の各々に関する第１開発者情報を出力する。
【図面の簡単な説明】
【０００８】
実施形態に係る対策グループ編成支援装置の機能構成の一例を示すブロック図。
対策グループ編成支援装置のハードウェア構成の一例を示す図。
辞書作成処理の処理手順の一例を示すフローチャート。
ＤＢ構築処理の処理手順の一例を示すフローチャート。
対応方法ＤＢに格納されている対応方法情報のデータ構造の一例を示す図。
対策グループ編成支援処理の処理手順の一例を示すフローチャート。
報告画面の一例を示す図。
対応方法情報検索処理の一例を示すフローチャート。
脆弱性類似度について説明するための図。
適切度計算処理の処理手順の一例を示すフローチャート。
適切度計算処理の概要について説明するための図。
適切度計算処理の概要について説明するための図。
習熟度計算処理の処理手順の一例を示すフローチャート。
習熟度計算処理の概要について説明するための図。
外部開発者抽出処理の処理手順の一例を示すフローチャート。
第１編成支援画面の一例を示す図。
内部開発者に送信される確認メールの一例を示す図。
第２編成支援画面の一例を示す図。
外部開発者に送信される確認メールの一例を示す図。
第３編成支援画面の一例を示す図。
【発明を実施するための形態】
【０００９】
以下、図面を参照して、実施形態について説明する。
本実施形態に係る対策グループ編成支援装置は、例えばオープンソースソフトウェア（以下、ＯＳＳと表記）において発生した脆弱性に対する対策を実施するための対策グループの編成を支援するために用いられる情報処理装置である。なお、本実施形態に係る対策グループ編成支援装置において支援される対策グループの編成には、例えば対策グループのメンバーの選出（選定）等が含まれる。
【００１０】
また、ＯＳＳは例えば複数の開発者が所属するコミュニティ（以下、ＯＳＳコミュニティと表記）において当該ＯＳＳを実現するためのソースコード（以下、ＯＳＳのソースコードと表記）に対する編集作業を行うことによって開発されるが、本実施形態に係る対策グループ編成支援装置は、このようなＯＳＳコミュニティにおいて上記した対策グループの編成を行うユーザ（例えば、ＯＳＳコミュニティのリーダー）によって使用される。
（【００１１】以降は省略されています）

関連特許