• ソフトウェア開発におけるライセンス違反、著作権違反に備えよ！「OSSKB」のご紹介
• OSS紹介ページ 今月のアップデート
• OSS紹介ページ 今月のアクセスランキング
• 今月注目のバグ&セキュリティ情報

1.ソフトウェア開発におけるライセンス違反、著作権違反に備えよ！「OSSKB」のご紹介

昨今、さまざまな業務に対して生成AIの活用が急速に進んでいます。
特にソフトウェア開発の現場では、コード生成やレビュー支援など、多くの場面で生成AIが活用されています。

また、さまざまなコミュニティによるオープンソースソフトウェア（OSS）の開発も盛んに行われています。
その一方で、生成AIによって生成された、あるいは、人間が開発したソースコードが既存のオープンソースソフトウェアと類似している場合、ライセンス違反や著作権違反のリスクとなりえます。

このような課題に対応するため、世界中の公開リポジトリから類似コードを検出できるナレッジベース「Open Source Software Knowledge Base (OSSKB)」と、OSSKBを活用するためのオープンソースソフトウェアツールをご紹介します。

■OSSKBとは
OSSKBは、ソフトウェア・サプライチェーンの透明性向上を目的としたSoftware Transparency Foundationが提供する、誰でもアクセス可能なナレッジベースです。
最大の特徴は、ソースコードをハッシュ化した上でナレッジベースと照合するため、ソースコードそのものを外部に送信することなく類似コードの検出が可能な点です。
これにより、企業の機密情報を保護しながら、ライセンス違反や著作権違反のリスクに対応することができます。

OSSKBを利用するには、同Foundationのメンバー企業であるSCANOSSが提供しているオープンソースのCLIツール「SCANOSS」を利用します。

■SCANOSSとは
SCANOSSはPythonパッケージとして提供されているため、Python環境があれば簡単にソースコードのオープンソースソフトウェアとの類似チェックができます。

Pythonパッケージであるため、CI/CDパイプラインの中でSCANOSSおよびOSSKBを利用することで、ソフトウェア開発サイクルの中で一定の品質を担保する仕組みを作ることができます。

SCANOSSではSonarQubeプラグインも提供しているため、ソースコードのバグや脆弱性とともに類似チェックもSonarQubeの中で管理することができます。

ソフトウェア開発サイクルや生成AIの活用とともに、OSSKBの活用を検討してみてはいかがでしょうか。

OSSKB
https://www.softwaretransparency.org/osskb

SCANOSS
https://www.SCANOSS.com/
https://github.com/SCANOSS/SCANOSS.py/blob/main/PACKAGE.md

OpenStandiaではOSSの技術サポートを提供しています。
現在のサポート対象OSSは、下記OpenStandiaサイトからご確認いただけます。

◆OpenStandiaサポート対象OSS一覧
https://openstandia.jp/services/#supportlist

2.OSS紹介ページ 今月のアップデート（新規：1件、更新：2件）

（新規）
dify (https://openstandia.jp/oss_info/dify/)

（更新）
Jetty (https://openstandia.jp/oss_info/jetty/)
Pentaho (https://openstandia.jp/oss_info/pentaho/)

3.OSS紹介ページ 今月のアクセスランキングTOP10

オープンソース情報ページ「OpenStandia OSS紹介」のアクセスTOP10をご紹介

→ 1位 (1位) PostgreSQL (https://openstandia.jp/oss_info/postgresql/)
→ 2位 (2位) Apache Tomcat (https://openstandia.jp/oss_info/tomcat/)
→ 3位 (3位) Apache HTTP Server (https://openstandia.jp/oss_info/apache/)
↑ 4位 (6位) Spring Framework (https://openstandia.jp/oss_info/spring/)
↓ 5位 (4位) MySQL (https://openstandia.jp/oss_info/mysql/)
↓ 6位 (5位) Nginx (https://openstandia.jp/oss_info/nginx/)
↑ 7位 (ランク外) Red Hat Enterprise Linux (https://openstandia.jp/oss_info/redhatenterpriselinux/)
↑ 8位 (ランク外) Spring Boot (https://openstandia.jp/oss_info/springboot/)
↓ 9位 (7位) Keycloak (https://openstandia.jp/oss_info/keycloak/)
↑ 10位 (ランク外) Squid (https://openstandia.jp/oss_info/squid/)

※( )内は前月の順位


◆OSS総合情報ページ「OpenStandia OSS紹介」はこちら
https://openstandia.jp/oss_info/

4.今月注目のバグ&セキュリティ情報

【Spring Framework】 Spring Framework のアノテーション検出の脆弱性 (CVE-2025-41249)

Spring Framework のアノテーション検出メカニズムは、パラメータ化されたスーパータイプと無制限ジェネリックを持つ型階層内のメソッドに対するアノテーションを正しく解決できない可能性があります。

このようなアノテーションが認可の決定に使用される場合、問題が発生する可能性があります。

Spring Security の @EnableMethodSecurity 機能を使用している場合、アプリケーションがこの問題の影響を受ける可能性があります。

@EnableMethodSecurity を使用していない場合、またはジェネリックスーパークラスまたはジェネリックインターフェースのメソッドにセキュリティアノテーションを使用していない場合は、この問題の影響を受けません。

この CVE は、CVE-2025-41248(https://spring.io/security/cve-2025-41248) と併せて公開されています。

本脆弱性の影響を受ける環境は下記となります。

　・Spring Framework
　　5.3.x ～ 5.3.45 より前
　　6.1.x ～ 6.1.23 より前
　　6.2.x ～ 6.2.11 より前

関連情報
・National Vulnerability Database
　https://nvd.nist.gov/vuln/detail/CVE-2025-41249

・Common Vulnerabilities and Exposures (CVE)
　https://www.cve.org/CVERecord?id=CVE-2025-41249

OpenStandia年間サポートサービスでは毎週、セキュリティアラートに関する情報、およびバグFIXに関する情報を提供しています。


◆OpenStandiaオープンソース年間サポートサービスのご紹介
https://openstandia.jp/services/

• NRI OSSソリューションマガジン（メールマガジン）トップへ