OSS脆弱性レポート

顧客からOSS1脆弱性の影響確認を求められたらまず脆弱性レポートで初動整理できます

CVE2 SBOM3 Dependabot4 SCA5ツールの結果について顧客や取引先から「影響はありますか」「対応状況を教えてください」と聞かれたときすぐに最終判断まで出せないことがあります

このページでは依存関係ファイルやSBOMをブラウザ内で読み取りソースコードを送らずに公開OSS名・versionなど必要最小限の情報だけで OSS脆弱性レポート を作成できます

ソースコード非送信ソースコード全文は不要です依存関係ファイルやSBOMから必要な情報だけを抽出します
送信前確認あり送信する情報と送信しない情報を確認してから同意した場合だけ送信します
PDFで共有顧客回答前の社内確認に使える一次資料をPDF形式で作成します

脆弱性レポートでは次を整理します

  • どの公開OSSとversionが確認されたか
  • 既知脆弱性候補があるか
  • 顧客回答前に何を追加確認すべきか
  • 開発者へ何を確認依頼すべきか
  • 現時点で断定できない事項は何か
脆弱性レポートを作成する準備するファイルを見る送信される情報を確認する

初動整理用の簡易レポートならこのページからすぐ作成できます 作成されるレポートは顧客提出前の社内確認 開発者確認 監査準備に使う一次資料です

このレポートで顧客回答前の初動整理ができます

顧客からCVE影響確認やOSS脆弱性対応状況の説明を求められたとき 必要なのはアラート一覧を増やすことではありません 必要なのは確認済み事項・未確認事項・次に確認すべきことを分けた社内共有資料 です

依存関係を整理lockfile manifest SBOMなどから公開OSS名とversionを整理します
公開脆弱性候補を確認加工済みデータを公開脆弱性情報と照合し既知脆弱性候補を整理します
確認事項を分離本番利用 該当機能利用 外部到達可能性 更新可否など御社側で確認すべき事項を明確にします
PDFで共有営業 開発 セキュリティ担当 責任者 監査担当が同じ資料を見て会話できます

このレポートは最終的な「影響なし」証明ではありません顧客回答・開発者確認・監査準備を始めるための一次調査資料です

レポートに含まれる主な内容

全体サマリー入力された依存関係の規模 照合対象 脆弱性候補数 確認目安を整理します
優先確認項目候補数 scope relationshipをもとに顧客回答前に確認すべき候補を自動で一次仕分けします
顧客向け一次回答案断定しすぎず確認済み事項と未確認事項を分けた文面のたたき台を作ります
開発者向け確認事項本番利用該当機能利用更新可否など開発チームに確認すべき項目を整理します
監査・委託先審査向け記録いつ何をもとにどの範囲を確認したかの一次記録を残します
データ取扱いと免責ソースコード非送信 private package匿名化 自動生成レポートであることを明記します
サンプルレポートを見る
レポートの章構成を確認する
  • 表紙
  • 確認目安の読み方
  • 全体サマリー
  • 責任者向け要約
  • 顧客向け一次回答案
  • 開発者向け確認事項
  • 入力データ概要
  • 公開脆弱性照合結果サマリー
  • 優先確認項目
  • 監査・委託先審査向けの記録
  • レポート生成条件とデータ取扱い
  • 免責・注意事項
  • 発行管理用情報

このレポートは自動生成の一次資料ですCVSS[^cvss]詳細EPSS[^epss]KEV[^kev]本番影響判断到達可能性解析顧客提出用の正式文面専門家レビューはもっと役立つ有料版側の範囲として準備しています

サンプルレポートを見る

実際に作成されるレポートの雰囲気を確認できるようサンプルPDFを用意していますレポートの章構成 確認目安 責任者向け要約 顧客向け一次回答案 開発者向け確認事項 監査・委託先審査向けの記録を確認できます

このサンプルSBOMからこのような脆弱性レポートが作成されます

サンプルPDFは公開用に用意したCycloneDX形式のサンプルSBOMを入力して作成したものですサンプルSBOMには古い公開package private packageのように見えるcomponent 内部参照の例 versionが不完全なcomponentを含めています実際の利用時は御社の対象システムから生成したSBOMまたは依存関係ファイルを使ってください

サンプルSBOMを別タブで開く

このブラウザではPDFをページ内表示できません サンプルレポートを別タブで開いて確認してください

サンプルレポートを別タブで開く 元にしたサンプルSBOMを別タブで開く ページ内表示できない環境でも別タブではPDFを確認できます

手元に準備するファイル

このページで必要なのはソースコード一式ではありません対象システムの 依存関係が分かるファイル または SBOM を準備してください

迷ったらまずlockfileまたはSBOMを選んでください

lockfileは実際に使われるversionが分かりやすくSBOMは複数言語・複数componentをまとめて渡しやすいため脆弱性レポートの入力として扱いやすい形式です

まず準備するとよいファイル
プロジェクト種別準備するファイルの例補足
Node.js / npmpackage-lock.json実際に解決されたpackageとversionを確認しやすい形式です
Yarn / pnpmyarn.lock, pnpm-lock.yamlフロントエンドやNode.jsサービスの依存関係確認に使います
Gogo.mod必要に応じて go.summodule名とversionをもとに確認します
Pythonrequirements.txt, poetry.lock, Pipfile.lockversionが固定されているlockfileの方が確認精度が上がります
Java / Mavenpom.xml直接依存を中心に確認します推移的依存まで含めたい場合はSBOMの利用も検討してください
Rrenv.lock, DESCRIPTIONrenv.lock はversionを確認しやすくDESCRIPTION は制約が残る場合があります
SBOMCycloneDX, SPDX複数言語やコンテナ由来のcomponentをまとめたい場合に向いています
DependabotやSCAツールのアラートが出ている場合

DependabotやSCAツールの画面キャプチャではなく対象リポジトリのlockfilemanifestまたはSBOMを準備してくださいアラート画面は「何が検出されたか」を見るには便利ですがレポート作成では依存関係データとして扱えるファイルが必要です

  • GitHubのDependabotアラートを見ている場合: 対象リポジトリの package-lock.jsonyarn.lockgo.modrequirements.txt などを準備します
  • SnykTrivyGrypeなどを使っている場合: 可能であればCycloneDXまたはSPDX形式のSBOMを出力して使います
  • 複数リポジトリが関係する場合: まず顧客から確認されたサービスまたは本番影響が大きいサービス単位で1つずつ作成してください
顧客からSBOM提出やCVE回答を求められている場合

顧客からSBOMやCVE回答を求められている場合は顧客に提出予定のSBOMそのものまたは対象システムの依存関係ファイルを準備してください

  • SBOMをすでに作成済みの場合: CycloneDX JSON/XMLSPDX JSON/tag-valueなどを使えます
  • SBOMがまだない場合: 対象アプリケーションのlockfileやmanifestを使ってレポートを作成できます
  • 顧客が特定CVEを指定している場合: そのCVEに関係しそうなサービスやリポジトリの依存関係ファイルを選んでください
納品前・保守案件・委託先審査で使う場合

納品前や保守案件では実際に納品・運用対象となるアプリケーションの依存関係ファイルを準備してください開発用サンプルや古いbranchのファイルでは顧客説明の材料として弱くなる場合があります

  • Webアプリケーション: フロントエンドとバックエンドを分けて作成するかSBOMでまとめます
  • 受託開発案件: 納品対象のリポジトリまたは納品buildに対応するlockfileを使います
  • 監査・委託先審査: いつの時点の依存関係かを社内で説明できるファイルを選びます
準備するファイルで迷う場合

次の順で選ぶと判断しやすくなります

  1. 本番で使うアプリケーションのlockfile
  2. 対象サービスのSBOM
  3. lockfileがない場合はmanifestや依存関係定義ファイル
  4. 複数ある場合は顧客から確認されたサービス単位で1つずつ

versionが不明な形式や推移的依存を完全に解決できない形式ではレポート内に「追加確認が必要」と表示される場合があります

脆弱性レポートを作ると社内確認が進めやすくなります

OSS脆弱性対応で時間がかかるのは脆弱性情報を探すことだけではありません顧客へ何を答えるか開発者へ何を確認するか監査向けに何を記録するかを整理することに時間がかかります

このレポートは最終判断ではなく判断を始めるための共通資料です

効果 具体的に進めやすくなること
顧客回答の初動が早くなる 何を確認済みで何を追加確認中と説明すべきかを整理できます
開発者への確認依頼が具体的になる 対象packageversionscoperelationship確認事項を渡せます
監査・委託先審査で説明しやすくなる 検知後にどのように一次整理したかを記録できます
無責任な断定を避けられる 影響なしと断定できない理由と次に確認すべき事項を分けられます

ソースコードを送らずに試せます

依存関係ファイルやSBOMにはソースコードそのものが含まれない場合でも技術スタック利用OSSversionprivate package名private registry URL6git URL社内ドメイン認証情報候補が含まれる可能性があります

このページではソースコード一式を送る必要はありません依存関係ファイルやSBOMをブラウザ内で読み取り脆弱性レポート作成に必要な情報だけへ整理し送信前に内容を確認できます

無料版の保存期間

無料版ではレポート作成のためサーバーへ送信された加工済みSBOM/依存関係データ公開脆弱性情報との照合結果生成されたHTMLPDFを作成から3日を目安に自動削除します元のSBOMファイルlockfile本文ソースコード全文をそのまま送信・保存する設計ではありません

送信する情報public package名versionecosystemscoperelationship送信前確認結果など
送信しない情報ソースコードlockfile/SBOM本文ファイル名private package実名URLsecret候補の実値など
3日で自動削除レポート作成のためサーバーへ送信された加工済みデータ照合結果HTMLPDFは作成から3日を目安に自動削除します
Google AnalyticsCTAクリックやレポート作成完了などの行動のみpackage名versionCVE IDJSON本文は送りません
送信する情報・送信しない情報を詳しく見る
区分扱い
public package名公開脆弱性情報との照合に使います
version既知脆弱性候補の照合に使いますversion不明の場合は制約として表示します
ecosystemnpmPyPI[^pypi]MavenGoCRAN[^cran]などの分類として使います
scope / relationshipRuntime / DevDirect / Transitiveなどの一次仕分けに使います
ソースコード送信しません
lockfile / SBOM本文そのままAPIへ送信しませんブラウザ内で加工した依存関係データだけを送ります
ファイル名APIにもGoogle Analyticsにも送りません
private package名匿名化し公開脆弱性DB[^db]の照合対象外として扱います
private registry URL / git URL / VCS[^vcs] URL削除します
認証情報候補検出時は送信へ進ませません候補文字列そのものは送りません
Google Analyticspackage名versionCVE IDJSON[^json]本文private情報は送りません
送信前処理を確認できるJavaScriptを見る

説明だけを信じる必要はありません送信前加工匿名化secret検出形式判定に関わる公開JavaScriptを確認できます

確認対象役割
oss-report-sanitize-payload.js送信してよい最小限のpayloadを組み立てる中心処理です
oss-report-sanitize-redact.jsprivate package名registry URLgit URLlocal pathなどを匿名化または削除します
oss-report-sanitize-secret-scan.jstokenや認証情報らしき文字列を検出した場合に送信へ進ませないための処理です
oss-report-detect-format.js選択されたファイル形式を判定します
oss-report-format-detectors.js初期読み込みを軽くするため形式だけを判定します
oss-report-parser-errors.js形式別の失敗理由を共通化し表示を分かりやすくします

脆弱性レポートを作成する

ここからOSS脆弱性レポートを作成できます 初動整理用の簡易レポートならすぐ作成できます

このレポートは次の目的で利用してください

  • 顧客からのCVE確認に対する初動整理
  • 開発者への確認依頼の準備
  • DependabotやSBOMの脆弱性候補整理
  • 納品前のOSS脆弱性確認
  • ISMS7SOC28委託先審査に向けた証跡準備
  • もっと役立つ有料版が必要かどうかの判断
利用前に確認してください
  • ソースコード全文は不要です
  • 依存関係ファイルやSBOMはブラウザ内で加工してから送信します
  • 送信前に送信される情報と送信されない情報を確認できます
  • 認証情報らしき文字列が検出された場合は送信へ進ませません
  • このレポートは一次調査資料であり最終的な影響判断ではありません
  • 無料版ではサーバーへ送信された加工済みデータと生成されたレポートを作成から3日を目安に自動削除します
  • ストラテジア担当者による個別確認は含まれません
操作する担当者について

顧客からSBOMやOSS脆弱性への対応状況を求められた営業担当者はこの手順を開発担当者へ共有してください実際のファイル選択と送信前確認は対象システムの依存関係ファイルまたはSBOMを扱える開発担当者が行うのが安全です

どのような場面で使えるか

代表的な利用シーンを見る

顧客からCVEの影響確認が届いた

対象OSSが依存関係上に含まれる可能性既知脆弱性候補追加確認事項顧客向け一次回答案を整理できます

DependabotやSCAツールのアラートが多い

候補数依存種別照合可否をもとに開発チームへ確認依頼しやすい候補を整理できます

SBOMを提出する前に脆弱性説明も整理したい

SBOMに含まれるcomponent情報を顧客説明や社内確認に使いやすい脆弱性レポートへ変換します

納品前・保守契約中にOSS脆弱性説明が必要になった

納品対象や保守対象の依存関係から確認すべき論点を整理できます

ISMS・SOC2・委託先審査の準備

検知後に何を確認しどこが未確認かを説明する一次記録として使えます

レポートで分かること・分からないこと

分かることを見る
項目内容
OSS名加工済みデータに含まれる公開OSS名
version検出されたOSSのversion
ecosystemnpmPyPIMavenGoCRANなどの分類
依存種別Direct / TransitiveRuntime / Devなどの推定
既知脆弱性候補公開脆弱性情報で返った候補IDと先頭1件の参照リンク
優先確認項目候補数 scope relationshipにもとづく自動一次仕分け
顧客向け一次回答案最終提出ではない確認済み事項と未確認事項を分けるための文面
このレポートだけでは分からないことを見る
項目理由
本番環境で実際に使われているか依存関係ファイルだけでは実行時の構成を確認できないため
外部から到達可能かネットワーク構成やアプリケーション経路の確認が必要なため
脆弱な関数や機能を呼び出しているかソースコード解析や到達可能性解析が必要なため
顧客通知義務があるか契約条件影響範囲社内基準の確認が必要なため
影響なしと最終判断できるか実装設定運用利用経路の確認が必要なため

よくある不安

ソースコードを送る必要がありますか

ありませんこのページではソースコード全文を送信しません依存関係ファイルやSBOMをブラウザ内で読み取り必要最小限の加工済みデータだけを送信する設計です

依存関係情報だけで意味がありますか

意味はあります依存関係情報だけでも公開OSSの名称version既知脆弱性候補顧客回答前の追加確認事項は整理できますただし本番利用有無や外部到達可能性などの最終判断には追加確認が必要です

顧客にそのまま提出できますか

このレポートは顧客提出前の一次調査資料です顧客へ提出する場合は御社の責任者が内容を確認し御社の責任で提出してください顧客提出向けに整えた文面や専門家レビューが必要な場面向けにもっと役立つ有料版を準備中です

ストラテジアが中身を個別確認しますか

いいえ現在のレポートではストラテジア担当者による個別確認は行いませんこのページはオンラインで自動完結する脆弱性レポート作成のためのページです

Google Analyticsでファイルの中身を取られませんか

取りませんGoogle Analyticsで取得するのはこのページ上の行動データですファイル名package名versionCVE IDprivate package名URL社内ドメインJSON本文はGoogle Analyticsへ送りません

よくある質問

このページは何のためのページですか

顧客取引先監査人社内責任者からOSS脆弱性やCVEの影響確認を求められたとき最初の回答材料を自動で整理するためのページです依存関係ファイルやSBOMをブラウザ内で加工し公開OSS名とversionなど必要最小限の情報だけを送信して脆弱性レポートを作成します

顧客への一次回答文は作られますか

作成しますただし最終回答ではありません追加確認が必要な事項を含めた汎用的な一次回答のたたき台です顧客へ断定的に安心させる文面ではなく確認済み事項と未確認事項を分けて誠実に初動状況を伝えるための文面です

DependabotやSnykやTrivyの代わりになりますか

代わりにはなりませんこのページの成果物は脆弱性検出ツールを置き換えるものではありませんDependabotSnykTrivyGrypeOSV-Scannerなどで得られた情報やlockfileをもとに顧客説明と初動整理に使える一次調査資料を作る位置づけです

private packageはどう扱いますか

private package名は匿名化して扱いますprivate packageは公開脆弱性DBで照合できないためレポートでは匿名化されたprivate packageとして件数を表示し公開OSS照合の対象外であることを示します

認証情報らしき文字列を検出した場合はどうなりますか

認証情報らしき文字列が検出された場合は送信へ進ませません御社側で対象箇所を確認し必要に応じて削除修正ローテーションを行ってから再度利用してください候補文字列そのものをストラテジアへ送る目的はありません

requirements.txtでversionを固定していない場合はどうなりますか

照合精度が限定されますrequests>=2.28django のように実際のversionが分からない場合は既知脆弱性の該当有無を正確に判定できないことがありますその場合はレポートにversion不明または追加確認が必要であることを表示します

RのDESCRIPTIONやrenv.lockには対応していますか

対応していますDESCRIPTIONでは依存関係名と依存制約を取得できますが実際にインストールされているversionとは限らないためversionはunknownとして扱いますrenv.lockでは固定されたpackage versionを取得できるためCRAN package名とversionを一次照合に使います

KEVやEPSSのような悪用状況も見ますか

このレポートではKEVやEPSSの値を自動で断定評価しません悪用状況や悪用可能性まで整理する場合は追加確認またはもっと役立つ有料版の範囲です

CVSSだけで優先度を決めますか

いいえこのレポートではCVSSだけで優先度を断定しません候補数依存種別照合可否をもとに自動で一次仕分けしCVSS修正版の有無悪用状況は追加確認事項として扱います

レポートはどれくらい保存されますか

無料版ではレポート作成のためにサーバーへ送信された加工済み依存関係データSBOMから抽出したcomponent情報公開脆弱性情報との照合結果生成されたHTML[^html]とPDFは作成から3日を目安に自動削除されます保存期間終了後レポートURLからの再表示や再ダウンロードはできなくなります元のSBOMファイルやソースコード全文は送信されませんAWSの自動削除処理の都合により物理削除には時間差が生じる場合があります

このFAQで解決しない場合はどうすればよいですか

このレポートの範囲で解決できない高度な判断契約上の通知義務顧客提出前レビュー影響なし判断専門家確認が必要な場合はもっと役立つ有料版や専門家レビューの対象として検討してください

もっと役立つ有料版を準備中

このページで作成できる脆弱性レポートは顧客回答前の初動整理を目的としています顧客提出用に文面を整える専門家レビューを付ける継続的に監視するといった場面向けにもっと役立つ有料版を準備しています

準備中の有料版で強化したい内容を見る

顧客提出用 詳細レポート

一次回答案をもとに顧客に提出しやすい文面へ整え確認済み事項未確認事項対応予定を分けて記載するサービスとして検討しています

月次OSS脆弱性監視レポート

単発対応ではなく継続的に顧客説明・監査証跡を残したい企業向けに検討しています

Agencyプラン

受託開発会社Web制作会社セキュリティ診断会社情報システム支援会社など自社顧客向け成果物としてOSS脆弱性レポートを使いたい企業向けに検討しています

専門家レビュー付きレポート

自動レポートではなく専門家による確認を組み合わせる有料オプションです断定してよい表現避けるべき表現契約や監査で誤解されやすい表現を確認することを検討しています

有料版を検討する稟議理由例を見る

顧客からのCVE影響確認に対応するため

顧客からOSS脆弱性およびCVE影響確認を求められており回答文および社内確認資料の作成が必要です
手作業での調査・文書作成には開発担当者およびセキュリティ担当者の工数が発生するためOSS脆弱性レポートを利用し確認済み事項・未確認事項・対応優先度など顧客向け回答案の整理を効率化します

監査・委託先審査の証跡を整備するため

脆弱性検知後の一次確認未確認事項対応方針顧客回答準備の記録を残すことでISMS・SOC2・委託先審査等における脆弱性管理の説明資料として活用します

注意事項

本レポートは入力された加工済みデータおよび公開脆弱性情報に基づくOSS脆弱性の一次調査資料です

本レポートは脆弱性診断侵入テストソースコードレビュー到達可能性解析法的判断契約上の通知義務判断を代替するものではありません

本レポートは入力データの完全性依存関係解決の完全性公開脆弱性情報の網羅性実行環境における影響有無を保証するものではありません

最終的な影響判断顧客提出リスク受容修正方針の確定は御社の責任で確認してください

現在のレポートではストラテジア担当者による個別確認専門家レビュー顧客提出文書としての保証は含みません

ストラテジアについて

ストラテジアは中小企業の情報セキュリティ基盤の構築と運用を支援しています

OSS脆弱性レポートは情報セキュリティ判断を属人的な作業にせず企業が顧客・開発者・監査人に説明できる状態を作るための取り組みです

必要なのは単にアラートを増やすことではありません 必要なのは企業が自社の状況を整理し顧客に誠実に説明し開発者に具体的に依頼し監査で説明できる記録を残すことです

脆弱性レポートを作成する

  1. Open Source Software の略ソースコードが公開され一定の条件で利用・改変・再配布できるソフトウェアです ↩︎

  2. Common Vulnerabilities and Exposures の略公開された既知脆弱性に付与される識別番号です ↩︎

  3. Software Bill of Materials の略ソフトウェアに含まれる部品や依存関係を一覧化した情報です ↩︎

  4. GitHubが提供する依存関係更新・脆弱性通知の機能ですリポジトリ内の依存関係をもとに更新候補や既知脆弱性を知らせます ↩︎

  5. Software Composition Analysis の略OSSなどの依存関係を解析し脆弱性やライセンス等を確認する手法・ツール群です ↩︎

  6. Uniform Resource Locator の略Web上の場所やリソースを示す文字列です ↩︎

  7. Information Security Management System の略情報セキュリティを継続的に管理する仕組みです ↩︎

  8. Service Organization Control 2 の略主にクラウドサービス等の統制状況を評価する監査報告の枠組みです ↩︎