顧客から「このCVEの影響はありますか」と聞かれたとき最初の回答材料を自動で整理します
ある日顧客や取引先から次のような確認が届きます
- CVE-XXXX-YYYY について御社サービスは影響を受けますか
- 利用しているOSSの脆弱性対応状況を教えてください
- SBOMまたは依存ライブラリ一覧をもとに影響有無と対応方針を提出してください
- Dependabotや脆弱性スキャンで検出された項目について対応状況と判断根拠を示してください
- 本番環境への影響 修正予定 暫定対応 顧客通知の必要性を説明してください
この確認が来た瞬間に多くの企業で起きることは似ています
- 営業やカスタマーサクセスは顧客へ早く回答したい
- 開発チームはどの依存関係が実際に該当するのか確認したい
- セキュリティ担当者はいい加減な回答を出したくない
- 経営や責任者は顧客対応の遅延や信用低下を避けたい
- 監査担当やISMS事務局はあとで説明できる証跡を残したい
しかし実際には次のような状態になりがちです
- CVE情報は見つかるが自社サービスに関係するか分からない
- GitHubやSCAツールに大量のアラートが出ているがどれから確認すべきか分からない
- 開発者に聞いても「本番で使っているかは確認が必要」と返ってくる
- 顧客にそのまま出せる日本語の回答文がない
- 「影響なし」と言い切ってよい根拠がない
- 監査や委託先審査で検知後の判断履歴を説明できない
- 顧客回答のたびに社内で同じような調査と文書作成を繰り返している
ストラテジアの OSS脆弱性一次調査レポート はこの最初の混乱を整理するために提供している現在の無料検証版です
正式な有料サービスとしての提供範囲はまだ順次整備中です
それでもあなたが顧客対応や監査準備の初動で困っているならこのページだけで無料レポート作成まで進めるようにしています
無料検証版であることは品質が軽いという意味ではありません
むしろあなたが依存関係情報の扱いに納得してから利用できるように送信前確認, 生ファイル非送信, Google Analyticsで取得しない情報, ソース確認の考え方を明確にしています
ソースコードや生のlockfileをそのまま送るのではなくブラウザ内で依存関係ファイルやSBOMを読み取り 公開OSSの名称・バージョンなど一次調査に必要な情報だけへ加工します
送信前に内容を確認したうえで加工済みデータだけを使いOSS脆弱性の概要 優先確認項目 顧客回答に必要な確認事項を無料レポートとして返却します
このページに辿り着いたあなたへ
このページに来たあなたはおそらく単に「脆弱性に興味がある」のではありません
すでに何らかの対応期限顧客確認監査準備納品前チェック社内説明の必要性があるはずです
たとえば次のような状況ではないでしょうか
顧客からCVEの影響確認を求められている
顧客が特定CVEについて自社サービスが影響を受けるか確認してきた
回答期限があり曖昧な返答は出せない
しかし対象OSSが含まれるか どのバージョンか 修正版があるか 本番影響があるかをすぐに整理できない
この場合に必要なのは単なるCVEの説明ではありません
必要なのは顧客へ回答するために現時点で何が分かっていて何が未確認で次に何を確認すべきか です
DependabotやSCAツールのアラートが多すぎる
GitHub, Dependabot, Snyk, Trivy, Grype, OSV-Scanner, その他のSCAツールで多数のOSS脆弱性アラートが出ている
CriticalやHighが並んでいるがすべてを同時に修正することはできない
開発チームからは「本当に本番影響があるのか」「どれを先にやるべきか」と聞かれる
この場合に必要なのはアラート一覧を増やすことではありません
必要なのは 開発者に確認・修正を依頼できる優先順位と顧客や監査人に説明できる判断材料 です
SBOMを作ったが次に何をすればよいか分からない
SBOMを作成した
しかしSBOMは部品表でありそれだけでは顧客説明にならない
顧客が求めているのはSBOMに含まれるOSSのうちどれに既知脆弱性がありどれを確認しどう対応しているのかです
この場合に必要なのはSBOMそのものではありません
必要なのは SBOMを脆弱性対応と顧客説明に使える形へ変換すること です
受託開発・保守案件で納品前にOSS脆弱性の説明が必要になった
納品前や保守契約更新時に顧客からOSS脆弱性の確認を求められる
開発チームは依存ライブラリを把握しているが顧客に説明できる文書までは作っていない
脆弱性診断でOSSのCVEが検出されレポートへの記載が必要になる
この場合に必要なのはスキャン結果の羅列ではありません
必要なのは顧客が理解できる説明, 修正方針, 未確認事項, 対応優先度 です
ISMS, SOC2, Pマーク 委託先審査で証跡が必要になった
審査や監査で脆弱性管理について聞かれる
「脆弱性を検知しているか」だけではなく「検知後にどのように影響確認し優先順位を決め対応履歴を残しているか」が問われる
しかし実際にはSlack, GitHub, Jira, Excel, メールの中に情報が散らばっている
この場合に必要なのは口頭説明ではありません
必要なのは 入力情報確認済み事項, 未確認事項, 判断根拠次の確認事項が残る一次調査記録 です
このページでできること
このページでは無料で次のことができます
- 依存関係ファイルまたはSBOMをブラウザ内で読み取る
- 生ファイルをそのまま送らず公開OSSの名称・バージョンなど必要最小限の情報へ加工する
- private package名, private registry URL, git URL, 社内ドメイン, secret候補を検出・削除・匿名化する
- 送信される加工済みデータの概要を確認する
- 同意した場合だけ加工済みデータを送信する
- OSS脆弱性の一次調査概要レポートを自動で受け取る
このページで得られるものは最終的な「安全証明」ではありません
このページで得られるものは 顧客回答・開発者確認・監査準備を始めるための整理された一次調査資料 です
この一次調査資料によって次のような会話がしやすくなります
| 相手 | このレポートで話しやすくなること |
|---|---|
| 顧客 | 何を確認済みで何を追加確認中なのか |
| 開発者 | どのOSS・バージョン・CVE候補を確認すべきか |
| セキュリティ担当 | 優先確認すべき候補はどれか |
| 営業・CS | 顧客へどのような一次回答ができるか |
| 監査人・審査員 | 検知後にどう整理し何を記録したか |
| 経営・責任者 | 顧客対応上どの論点を放置してはいけないか |
あなたがこのページで得られるもの
現在のインターネットの無料レポートで得られる価値は脆弱性情報の量ではありません
インターネット上にはCVE情報, GitHub Advisory, NVD, OSV, 各ベンダーのアドバイザリ, ブログ記事, 実証コード情報などが大量にあります
情報が不足しているのではありません
情報が多すぎて顧客に説明できる形へ整理できないことが問題です
このページで得られるのは次の4つです
1. まず何を確認すべきかが分かる
脆弱性アラートが100件あってもすべてが同じ緊急度ではありません
- 修正版があるもの
- 重大度が高いもの
- 顧客説明が必要になりそうなもの
- 本番利用の確認が必要なもの
- 追加確認しないと判断できないもの
これらを最初に分けることで開発者やセキュリティ担当者へ依頼しやすくなります
2. 顧客へ雑な回答を出さずに済む
顧客へ返す悪い回答は次のようなものです
現在確認中です
問題があれば対応します
この回答は速いかもしれませんが顧客が本当に知りたいことに答えていません
顧客が知りたいのは次です
- 対象OSSは含まれているのか
- 影響バージョンに該当するのか
- 修正版はあるのか
- 本番影響は確認済みなのか
- 何が未確認なのか
- いつまでに何を確認するのか
- 暫定対応や監視は必要なのか
このページの無料レポートではこれらを 確認済み事項 と 未確認事項 に分けて整理します
3. 開発者へ確認依頼しやすくなる
開発者に「脆弱性があるから全部直してください」と依頼しても現実には進みにくいです
開発者が必要とするのは次のような具体情報です
- 対象パッケージ名
- 対象バージョン
- 直接依存か間接依存か
- Dev Dependency か Runtime Dependency か
- 修正版があるか
- どのCVE候補が関係するか
- 本番ビルドに入っているか確認すべきか
- 更新時にどのテストを見るべきか
このページの無料レポートは開発者への確認依頼のたたき台になります
4. あとで説明できる記録が残る
脆弱性対応で重要なのは対応そのものだけではありません
あとで次のように聞かれたとき説明できることが重要です
- いつ検知したのか
- 何を根拠に確認したのか
- 何が分かっていたのか
- 何が未確認だったのか
- 次に何を確認すべきと判断したのか
- 顧客にどう説明する予定だったのか
このページの無料レポートはこうした説明の最初の記録になります
なぜ無料でもこのレポートを作る意味があるのか
OSS脆弱性対応で最も危険なのは何も分からないまま時間だけが過ぎることです
- 顧客への回答期限が近づく
- 開発チームへの確認依頼が遅れる
- セキュリティ担当者が調査に着手できない
- 対応方針が決まらない
- 監査証跡が残らない
- 顧客から再確認が来る
このページの無料レポートはこの状態を止めるためのものです
このページの無料レポートによって少なくとも次が分かります
入力された依存関係情報ではどの公開OSSが確認されたか
既知脆弱性候補があるか
優先確認すべき候補があるか
顧客回答前に何を追加確認すべきか
現時点で断定できない事項は何か
これは最終判断ではありません
しかし最終判断へ進むための出発点としては十分に意味があります
なぜ有料でも詳細レポートを得る必要が出てくるのか
現在は無料概要レポートのみを提供します
有料レポートを提供する正式リリースに向けて現在準備中です
それでもこのページではあえて「なぜ企業がお金を払ってでもレポートを得る必要があるのか」を明確にします
理由はこのページの無料レポートが単なる便利ツールではなく将来的には企業の顧客対応・監査対応・開発管理に関わる業務支援サービスになるからです
企業がお金を払う理由は脆弱性情報そのものではありません
企業がお金を払う理由は説明責任を果たすための文書化された成果物 にあります
1. 顧客対応の遅延は商談や契約更新に影響する
B2Bサービスではセキュリティ回答が遅れると商談契約, 更新導入審査, 委託先審査に影響します
顧客から見れば脆弱性そのもの以上に次の姿勢が問われます
- 問い合わせにすぐ反応できるか
- 何を確認しているか説明できるか
- 未確認事項を隠さず整理できるか
- 修正方針や確認予定を示せるか
- 過去の回答と整合した説明ができるか
詳細レポートにお金を払う価値はここにあります
2. 開発者・セキュリティ担当者の工数は安くない
CVEを読み依存関係を調べ修正版を探し顧客向けに文章化し社内確認を回すには時間がかかります
たとえ1件の問い合わせでも関係者は複数になります
- 営業またはCS
- 開発者
- セキュリティ担当者
- 情シス担当者
- PM
- 責任者
数時間の調査と文書作成が発生するなら標準化されたレポートに対価を払う合理性があります
3. 「影響なし」と言えないときにも説明は必要になる
多くの場合最初から「影響なし」と断定できません
しかし断定できないからといって何も回答しないわけにはいきません
必要なのは次のような説明です
対象コンポーネントが依存関係上に存在することは確認しています
現時点では本番環境への組み込み有無該当機能の利用有無外部到達可能性を追加確認中です
修正版が公開されているため更新可否を開発チームで確認します
このような一次回答を技術的に過不足なく顧客に読める形で作ることには価値があります
4. 監査・委託先審査ではあとから説明できる記録が必要になる
監査や審査では「やっています」という口頭説明だけでは弱くなります
必要なのは次のような記録です
- 何をもとに確認したか
- いつ確認したか
- どのOSSが対象だったか
- どのCVE候補を確認したか
- 何が未確認だったか
- 次に何を確認すべきと判断したか
- 顧客回答にどのような文面を使ったか
詳細レポートはこの記録を整えるために必要になります
5. 顧客向け文面の品質を標準化できる
担当者ごとに回答文の品質が変わると顧客対応にばらつきが出ます
- ある担当者は技術的に細かく書きすぎる
- 別の担当者は曖昧に書きすぎる
- 営業は顧客に分かりやすくしたいがセキュリティ担当は断定を避けたい
- 開発者は技術的事実だけを伝えたい
詳細レポートはこの間を埋めるためのものです
つまり有料レポートの価値は単なるPDFではありません
顧客に説明できる品質の文章と社内で合意しやすい判断材料を毎回同じ形式で出すこと にあります
これは脆弱性スキャナではありません
このページで提供するOSS脆弱性一次調査レポートは既存の脆弱性スキャナやSCAツールを置き換えるものではありません
GitHub, Dependabot, Snyk, Trivy, Grype, OSV-Scanner, yamory, FutureVulsなどのツールは脆弱性の検出や管理に強みがあります
このページの無料レポートが扱うのはその後段です
既存ツール・SBOM・lockfile
↓
OSS脆弱性の候補が見つかる
↓
どれを確認すべきか分からない
↓
顧客へどう説明するか分からない
↓
開発者へどう依頼するか分からない
↓
監査証跡として何を残すべきか分からない
↓
OSS脆弱性一次調査レポートで整理する
このサービスが目指すのは検出 ではなく説明できる状態を作ること です
このページの無料レポートで分かることと分からないこと
OSS脆弱性対応ではできることとできないことを分けることが重要です
依存関係データだけで分かることもあります
一方でソースコード実行環境ネットワーク構成実際の利用経路を確認しないと分からないこともあります
このページの無料レポートで分かること
| 項目 | 内容 |
|---|---|
| OSS名 | 加工済み依存関係データに含まれる公開OSS名 |
| バージョン | 検出されたOSSのバージョン |
| ecosystem | npm, PyPI, Maven-Goなどの種別 |
| 依存種別 | Direct, Transitive, Runtime, Devなどの推定 |
| 既知脆弱性候補 | 公開情報と照合した候補 |
| 修正版候補 | 修正版が存在する場合の更新検討材料 |
| 優先確認候補 | 顧客回答前に優先して確認すべき候補 |
| 顧客向け一次回答案 | 確認済み事項と未確認事項を分けた文面 |
| 開発者向け確認事項 | 本番利用, 該当機能利用, 更新可否などの確認項目 |
このページの無料レポートだけでは分からないこと
| 項目 | 理由 |
|---|---|
| 本番環境で実際に使われているか | 依存関係ファイルだけでは実行時の構成を確認できないため |
| 外部から到達可能か | ネットワーク構成やアプリケーション経路の確認が必要なため |
| 脆弱な関数や機能を呼び出しているか | ソースコードや到達可能性解析が必要なため |
| 顧客通知義務があるか | 契約条件, 影響範囲, 社内基準の確認が必要なため |
| 影響なしと最終判断できるか | 実装, 設定, 運用, 利用経路の確認が必要なため |
このページではできないことを隠しません
なぜなら脆弱性対応で重要なのは安易に安心することではなく どこまで確認済みでどこから先に人間の確認が必要かを分けること だからです
無料レポートに含まれる内容
このページの無料レポートは概要PDFとして自動生成します
初期版ではストラテジアの担当者が個別に確認するのではなく加工済みデータと公開脆弱性情報をもとに自動で一次調査資料を作成します
1. 対象データ概要
入力された加工済みデータの概要を表示します
- ecosystem別の依存関係件数
- public package件数
- private package匿名化件数
- URL削除件数
- secret候補検出有無
- Direct / Transitive / Unknown の件数
- Runtime / Dev / Unknown の件数
ここでは生ファイル名やprivate package名は表示しません
2. OSS脆弱性候補サマリー
公開脆弱性情報との照合結果を件数ベースで整理します
- 緊急確認候補
- 高リスク確認候補
- 追加確認候補
- 修正版がある候補
- version不明または照合不可の候補
- private packageのため照合対象外となった件数
このページの無料レポートではまず全体像を把握することを重視します
3. 優先確認項目
顧客回答前に優先して確認すべき項目を整理します
たとえば次のような観点です
- 影響バージョンに該当する可能性があるもの
- 修正版が存在するもの
- 本番利用の確認が必要なもの
- 外部公開機能に関係する可能性を確認すべきもの
- 開発環境限定かどうか確認すべきもの
- 顧客回答に含めるべき可能性があるもの
4. 顧客向け一次回答案
顧客へそのまま最終提出する文書ではなく一次回答のたたき台を作ります
文面は次のような構造になります
当社の依存関係情報に基づく一次確認では対象コンポーネントが含まれる可能性を確認しています
現時点では本番環境への組み込み有無該当機能の利用有無外部からの到達可能性について追加確認が必要です
修正版が公開されている場合は更新可否を開発チームで確認します
確認結果に応じて必要な対応方針を整理します
この文面の目的は顧客に対して無責任に安心させることではありません
目的は 確認済み事項と未確認事項を分け誠実に初動状況を説明すること です
5. 開発者向け確認事項
開発者へ依頼すべき確認項目を整理します
- 対象OSSは本番ビルドに含まれるか
- Dev Dependency のみか
- 該当機能を利用しているか
- 修正版へ更新可能か
- 更新時に破壊的変更があるか
- 回帰テストが必要な箇所はどこか
- 対応チケットを作成すべきか
このページの無料レポートでは開発者が次に動きやすい形へ論点を整理します
6. 監査・委託先審査向けの記録
監査や審査では判断過程の記録が重要です
このページの無料レポートでは次を記述します
- レポート生成日時
- 入力データ種別
- 生ファイル非送信
- 加工結果概要
- 確認済み事項
- 未確認事項
- 追加確認が必要な事項
- 自動生成レポートであること
- 最終判断は御社で行うこと
レポートの出力イメージ
以下はこのページの無料レポートに含まれる文面イメージです
サマリー例
入力された加工済み依存関係データをもとに公開OSSの利用状況と既知脆弱性候補を一次確認しました
本レポートでは緊急確認候補高リスク確認候補追加確認候補を整理しています
本番環境での利用有無外部到達可能性該当機能の呼び出し有無は入力データのみでは断定できないため御社で追加確認してください
CVE別の確認例
対象コンポーネント:example-library
検出バージョン:1.2.3
依存種別:transitive / runtime 推定
公開情報上の影響:影響バージョンに該当する可能性があります
修正版:1.2.4 以上が候補です
一次判定:追加確認推奨
確認済み事項:
- 加工済み依存関係データ上で対象コンポーネントを確認しています
- 検出バージョンは公開情報上の影響範囲に含まれる可能性があります
- 修正版候補が存在します
未確認事項:
- 本番環境に含まれるか
- 該当機能を実際に利用しているか
- 外部ユーザーから到達可能か
- 顧客通知義務があるか
推奨される次の確認:
- 本番ビルドへの組み込み有無を開発チームで確認してください
- 修正版への更新可否を確認してください
- 顧客回答前に影響範囲と対応予定を社内で確認してください
顧客向け一次回答例
当社の依存関係情報に基づく一次確認では対象コンポーネントが含まれる可能性を確認しています
現時点では該当コンポーネントの本番環境での利用有無該当機能の呼び出し有無外部からの到達可能性について追加確認中です
修正版が公開されている場合は更新可否を開発チームで確認し必要に応じて対応方針を整理します
開発者向け確認依頼例
対象コンポーネントについて以下を確認してください
1. 本番ビルドに含まれるか
2. Dev Dependency のみかRuntime Dependency か
3. 脆弱性が成立する機能を利用しているか
4. 修正版へ更新可能か
5. 更新時に影響を受けるテスト範囲はどこか
6. 顧客回答に含めるべき制約事項があるか
データの扱い
OSS脆弱性一次調査ではデータの扱いが最も重要です
依存関係ファイルやSBOMにはソースコードそのものが含まれない場合でも技術スタック, 利用OSS, バージョン, private package名, private registry URL, git URL, 社内ドメイン, 認証情報の混入などが含まれる可能性があります
このページには無料レポート導線の利用状況を把握しページ改善に役立てる目的でGoogle Analyticsを組み込んでいます
ただしあなたが加工する前の状態のデータを取得することはありませんしその目的もありません
Google Analyticsで確認するのはこのページの説明が読まれているか, データ加工セクションまで進まれているか, 送信同意まで進まれているか, 無料レポートが取得されているかといった行動の流れです
そのためこのページの方針は次のとおりです
生ファイルをそのままサーバーへ送らない
ブラウザ内で読み取り必要最小限の依存関係データへ加工する
送信前に送信される情報と送信されない情報をあなたが確認する
同意後に加工済みデータだけを送信する
送信する情報
送信されるのは無料レポート作成に必要な最小限の加工済みデータです
| 区分 | 例 |
|---|---|
| ecosystem | npm, PyPI, Maven-Go, CycloneDX, SPDX など |
| public package名 | Lodash, Requests, Spring-core など |
| version | 4.17.20, 2.31.0 など |
| dependency scope | Runtime, Dev, Optional, Unknown など |
| dependency relationship | Direct, Transitive, Unknown など |
| 加工結果概要 | private package件数, URL削除件数, secret候補検出有無など |
送信しない情報
| 区分 | 扱い |
|---|---|
| ソースコード | 送信しません |
| 生のlockfile / SBOM | 送信しません |
| ファイルパス | 送信しません |
| private package名 | 匿名化します |
| private registry URL | 削除します |
| git URL / VCS URL | 削除します |
| integrity hash | 送信しません |
| SBOM metadata | 送信しません |
| 外部サービスendpoint | 送信しません |
| 認証情報候補 | 検出時は送信停止します |
| Google Analytics | package名, version, CVE ID, ファイル名, JSON本文は送信しません |
Google Analyticsについて
このページには無料レポート導線の利用状況を把握しページ改善に役立てる目的でGoogle Analyticsを組み込んでいます
ただしGoogle Analyticsで取得するのはユーザー行動の流れです
あなたが加工する前の状態のデータを取得することはありませんしその目的もありません
- どのCTAがクリックされたか
- データ取り扱い説明まで読まれたか
- 加工セクションまで進んだか
- ファイル選択まで進んだか
- 送信予定データ確認画面まで進んだか
- 同意送信まで進んだか
- 無料PDF生成まで進んだか
- 無料PDFをダウンロードしたか
Google Analyticsには次の情報を与えません
- ファイル名
- package名
- version
- CVE ID
- private package名
- private registry URL
- git URL
- 社内ドメイン
- secret候補文字列
- 生JSON
- 加工済みJSON本文
Google Analyticsで扱うのは個社の脆弱性情報ではありません
扱うのは あなたがこのページ内でどこまで進んだかという操作の流れ です
なぜ生ファイルを送らないのか
package-lock.json yarn.lock pnpm-lock.yaml go.mod requirements.txt poetry.lock pom.xml および CycloneDX や SPDX は企業にとって慎重に扱うべき情報が含まれる可能性があります
技術スタックが分かる
依存関係ファイルを見ると利用しているフレームワーク, 認証ライブラリ, クラウドSDK, ログ基盤, 決済関連ライブラリ, 暗号ライブラリ, データベースドライバなどが分かる場合があります
これはソースコードではありません
しかしシステムの攻撃面を推測する材料になり得ます
脆弱なバージョンが分かる
OSS名とバージョンが分かれば既知脆弱性の該当有無を推測できます
これは無料レポート生成には必要な情報です
一方で必要以上に広く共有すべき情報ではありません
だからこそ生ファイル全体ではなく必要なpublic package名とversionだけに絞ります
private package名や社内URLが含まれることがある
依存関係ファイルには社内パッケージ名, private registry URL, git URL, 社内ドメイン, インストール元URLが含まれる場合があります
これらは脆弱性一次調査の公開OSS照合には不要です
そのため削除または匿名化します
認証情報が混入している可能性がある
本来あってはならないことですが運用によってはURL内にトークンや認証情報が混入している可能性があります
このページではsecret候補を検出した場合送信を停止します
対応予定の入力データ
初期版では次のような依存関係ファイルやSBOMを取り扱います
| 入力 | ファイルの扱い |
|---|---|
package-lock.json |
npm依存関係からpublic package名とversionを抽出 |
yarn.lock |
Yarn依存関係からpublic package名とversionを抽出 |
pnpm-lock.yaml |
pnpm依存関係からpublic package名とversionを抽出 |
go.mod |
Go module名とversionを抽出 |
requirements.txt |
PyPI package名とversion指定を抽出URLやindex設定は削除 |
poetry.lock |
Python依存関係からpackage名とversionを抽出 |
pom.xml |
Mavenの直接依存を中心に抽出推移的依存は制限あり |
| CycloneDX | component情報からpublic package名 version purlを抽出 |
| SPDX | package情報とpurl等からpublic package名 versionを抽出 |
入力ファイルによって取得できる情報の精度は異なります
たとえばrequirements.txt でバージョンが固定されていない場合実際にインストールされるバージョンを正確に判断できないことがあります
pom.xml はlockfileではないため推移的依存の完全な解決には追加処理が必要になる場合があります
SBOMは生成方法によって含まれる情報の粒度が異なります
無料レポートではこのような制約も明記します
利用の流れ
このページの無料レポート作成は自動で完結する設計です
ストラテジアの担当者が個別に内容を確認したり個別メールでやり取りしたりすることはありません
1. このページで対象ファイルを選択
2. ブラウザ内でファイルを読み取り
3. 依存関係情報を抽出
4. private情報URLsecret候補を検出
5. 不要情報を削除・匿名化
6. 送信される加工済みデータの概要を表示
7. あなたが内容を確認して同意
8. 加工済みデータだけを送信
9. 自動で無料概要レポートPDFを生成
10. PDFを受け取る
この導線の目的は無料レポートの取得を簡単にすることだけではありません
目的はあなたが次のように判断できる状態を作ることです
生ファイルをそのまま預けるわけではない
送信される情報を確認できる
private情報やURLは送られない
Google Analyticsにも中身は送られない
これなら無料レポートを試してもよい
このページの無料レポートはどの担当者に向いているか
CTO・開発責任者
- 顧客からOSS脆弱性について確認されるたびに開発チームの工数が取られる
- アラートが多くどれを先に確認すべきか判断しづらい
- 顧客向け説明文を開発者が毎回書くのは負担になっている
このレポートは開発チームが確認すべき論点を整理し顧客回答のたたき台を作るために使えます
情報セキュリティ担当者・CSIRT担当者
- CVE情報, 依存関係情報, 顧客問い合わせ, 監査証跡を別々に管理している
- 影響有無をすぐに断定できない場合でも何を追加確認すべきか整理したい
このレポートは一次トリアージと社内確認の入口として使えます
情シス・ISMS事務局・内部監査担当
- 審査や委託先監査で脆弱性管理の運用状況を聞かれる
- 「検知している」だけでなく「検知後にどう判断しているか」を説明したい
このレポートは脆弱性管理の証跡作成の入口として使えます
営業・カスタマーサクセス
- 顧客からセキュリティ確認が来るが技術的な回答を自分だけでは作れない
- 開発やセキュリティ担当に確認を依頼する前に論点を整理したい
このレポートは顧客回答前の社内確認資料として使えます
受託開発会社・Web制作会社・SIer
- 納品前や保守契約中にOSS脆弱性の説明を求められる
- 案件ごとにレポートを作るのは負担が大きい
このレポートは納品前チェックや保守報告の一次資料として使えます
セキュリティ診断会社・コンサルティング会社
- 診断結果や顧問先への報告でOSS脆弱性の説明文を整える必要がある
- 診断員ごとの表現のばらつきを減らしたい
このレポートは将来的なホワイトラベルレポートやAgencyプランの検証材料として使えます
このページの無料レポートの利用シーン別の活用例
シーン1:大企業顧客からCVEの影響確認が届いた
- 顧客から特定CVEについて影響確認依頼が届いた
- 回答期限があり営業やCSは早く返したい
- しかし開発チームはすぐに全体調査できない
このページで依存関係データを加工送信すると無料レポートで次を整理できます
- 対象OSSが依存関係上に含まれる可能性
- 対象バージョンの該当可能性
- 修正版候補
- 追加確認が必要な事項
- 顧客向け一次回答案
顧客へ最終回答する前に社内確認の出発点を作れます
シーン2:Dependabotアラートが大量に溜まっている
- GitHubに多数のDependabotアラートが出ている
- CriticalやHighが混在している
- すべてを修正する時間はない
このページではまず依存関係情報をもとに無料レポートで優先確認候補を整理します
- 緊急確認候補
- 高リスク確認候補
- Dev Dependency の確認候補
- Transitive Dependency の確認候補
- 修正版がある候補
開発チームに「どれから確認するか」を伝えやすくなります
シーン3:SBOMを提出する前に脆弱性説明も整理したい
SBOMを提出するだけでは顧客の不安は解消しない場合があります
顧客が知りたいのはSBOMに含まれるOSSのうちどの脆弱性を把握しどう対応しているかです
このページではSBOMから必要最小限のcomponent情報だけを抽出し無料レポートで脆弱性一次調査の概要を作ります
シーン4:納品前のOSS脆弱性チェック
- 受託開発案件で納品前にOSS脆弱性の説明資料が必要になった
- 脆弱性診断で依存ライブラリのCVEが指摘された
- 顧客から対応方針を出してほしいと言われた
このページでは納品物に含まれる依存関係情報をもとに無料レポートで確認すべき論点を整理できます
シーン5:ISMS・SOC2・委託先審査の準備
- 監査や審査でOSS脆弱性管理について聞かれる
- ツールは使っているが検知後の判断履歴が残っていない
このページでは一次調査の記録として入力情報確認済み事項 未確認事項次の確認事項を整理できます
このページの無料レポートを利用する前に解決したい不安
不安1:生ファイルを送るのが怖い
はい
その不安は正しいです
依存関係ファイルやSBOMには機密性のある情報が含まれる可能性があります
そのためこのページでは生ファイルをそのまま送る設計を標準にしません
ブラウザ内で加工し送信前に内容を確認し同意後に加工済みデータだけを送信します
不安2:依存関係情報だけで意味があるのか
はい
意味はあります
依存関係情報だけでも公開OSSの名称, バージョン既知脆弱性候補, 修正版候補, 優先確認項目は整理できます
ただし最終的な影響判断には追加確認が必要です
このページの無料レポートではそこを明確に分けます
不安3:顧客にそのまま出してよいのか
このページの無料レポートは顧客提出前の一次調査資料です
顧客へそのまま提出する場合は御社で内容を確認し御社の責任で提出してください
正式リリース後には顧客提出用の詳細レポートを提供予定です
不安4:ストラテジアが中身を見てくれるのか
いいえ
現在の無料レポートではストラテジアの担当者による個別確認は行いません
このページはオンラインで自動完結する無料レポート作成のためのページです
不安5:Google Analyticsでファイルの中身を取られるのではないか
いいえ
しかし確かにこのページにGoogle Analyticsを導入しています
このページのGoogle Analyticsで取得しているデータはこのページ上の行動データだけです
あなたが送るファイル名, package名, version, CVE ID, URL, 社内ドメイン, JSON本文は一切Google Analyticsへ送りません
無料レポートを作成する
ここから無料のOSS脆弱性一次調査レポートを作成できます
このページの無料レポートは次の目的で利用してください
- 顧客からのCVE確認に対する初動整理
- 開発者への確認依頼の準備
- DependabotやSBOMの脆弱性候補整理
- 納品前のOSS脆弱性確認
- ISMS, SOC2, 委託先審査に向けた証跡準備
- 有料詳細レポートが必要かどうかの判断
利用前に確認してください
- ソースコード全文は不要です
- 生のlockfileやSBOMは送信しないでください
- ブラウザ内で加工した依存関係データだけを送信します
- 送信前に送信される情報と送信されない情報を確認できます
- secret候補が検出された場合は送信を停止します
- このページの無料レポートは一次調査資料であり最終的な影響判断ではありません
- このページの無料レポートではストラテジア担当者による個別確認は含まれません
データを送信する前にソースを確認してください
このページでは加工前の依存関係ファイルやSBOMをそのまま送信しません
ただしストラテジアがそう説明するだけでは十分ではありません
御社の依存関係情報を扱う以上送信前にこのページのソースブラウザ上のNetworkタブ加工処理のJavaScriptを確認して構いません
むしろどのようなコードでデータを読み取りどのような項目を削除しどのような加工済みデータだけを送信しているのかを納得できるまで確認したうえで送信してもらうほうがストラテジアも安心です
実装時には加工処理を次のような読みやすい役割に分けて配置します
/assets/js/oss-vulnerability-preview/
file-reader.js ローカルファイルをブラウザ内で読む処理
dependency-parser.js 依存関係だけを抽出する処理
secret-detector.js tokenや認証情報候補を検出する処理
redactor.js URLやprivate package名を削除または匿名化する処理
payload-builder.js 送信してよい加工済みJSONだけを作る処理
review-ui.js 送信前に内容を確認する画面を作る処理
submit-preview.js 同意後に加工済みJSONだけを送信する処理
実装時の考え方は次のとおりです
// 1 ユーザーが選んだファイルをブラウザ内で読む
const rawText = await selectedFile.text()
// 2 生データをサーバーへ送らずブラウザ内で依存関係だけを抽出する
const dependencies = parseDependencies(rawText)
// 3 secret候補やURLやprivate package名を検出する
const findings = detectSensitiveValues(rawText)
// 4 送信してはいけない値を削除または匿名化する
const sanitized = redactDependencies(dependencies, findings)
// 5 送信前にあなたへ内容を表示する
renderReviewScreen(sanitized.summary)
// 6 あなたが同意した場合だけ加工済みJSONを送信する
await submitOnlySanitizedPayload(sanitized.payload)
確認してほしい点は次です
- ファイルを選んだだけで通信していないか
- 加工前の本文がAPIへ送られていないか
- package名やversion以外の余分な値が送られていないか
- private package名が匿名化されているか
- registry URLやgit URLが削除されているか
- secret候補が見つかったときに送信が停止するか
- Google Analyticsにファイル名やpackage名やversionやJSON本文が送られていないか
ブラウザの開発者ツールでNetworkタブを開いたまま操作すると次を確認できます
- 送信ボタンを押すまで通信が発生していないか
- 送信時のpayloadが加工済みJSONだけになっているか
ストラテジアはあなたのこの確認を歓迎します
このページの信頼性はこのページで説明を尽くすことではなく実際に送信するデータをあなたが事前に確認できることによって成立すると考えているからです
データ加工セクション
(★送信必要な加工前jsonデータはここから読ませる)
正式リリース後に提供予定の機能
このページの無料レポートの提供状況をもとに順次サービス化を検討します
現時点で以下は Coming Soon です
顧客提出用 詳細レポート — Coming Soon
予定価格:55,000円(税込)
これは無料概要レポートよりも詳細に顧客提出を意識した文面を整えるサービスとして検討しています
予定内容:
- (精査中)
月次OSS脆弱性監視レポート — Coming Soon
予定価格:55,000円/月(税込)
これは単発対応ではなく継続的に顧客説明・監査証跡を残したい企業向けに検討しています
予定内容:
- (精査中)
Agencyプラン — Coming Soon
予定価格:165,000円/月(税込) 予定対象:
- 受託開発会社
- Web制作会社
- セキュリティ診断会社
- 情報システム支援会社
- 顧問先を複数持つ専門会社
これは自社顧客向けの成果物としてOSS脆弱性レポートを使いたい企業向けに検討しています
予定内容:
- (精査中)
専門家レビュー付きレポート — Coming Soon
予定価格:110,000円(税込)
自動レポートではなく専門家による確認を組み合わせる有料オプションです
現在の無料レポートには人による個別確認は含まれません
専門家レビューでは将来的に次のような内容を検討します
予定内容:
- (精査中)
有料化された場合の稟議理由
このページの無料レポートは無料ですが正式リリース後に有料レポートを利用する場合に御社は社内では次のような説明ができます
顧客からのCVE影響確認に対応するため
顧客からOSS脆弱性およびCVE影響確認を求められており回答文および社内確認資料の作成が必要です
手作業での調査・文書作成には開発担当者およびセキュリティ担当者の工数が発生するためOSS脆弱性一次調査レポートを利用し確認済み事項, 未確認事項, 対応優先度など顧客向け回答案の整理を効率化します
開発者・セキュリティ担当者の調査工数を削減するため
DependabotやSBOM等で検出されるOSS脆弱性について対応優先度の整理修正版確認顧客回答の下書き作成を標準化します
これにより開発者およびセキュリティ担当者の初動調査と文書作成工数を削減します
監査・委託先審査の証跡を整備するため
脆弱性検知後の一次確認 未確認事項 対応方針 顧客回答準備の記録を残すことでISMS SOC2 委託先審査等における脆弱性管理の説明資料として活用します
顧客説明品質を標準化するため
顧客向けのOSS脆弱性回答文について担当者ごとの表現のばらつきを抑え確認済み事項と未確認事項を分けた説明形式に統一します
よくある質問
このページの無料レポート作成に進む前に判断しやすい質問をまとめています
無料レポートの取得までに必要な確認はできるだけこのページ内で完結するようにしています
個別の事情が高度で自動レポートの範囲を超える場合は正式リリース後の詳細レポートまたは専門家レビューの対象として検討してください
まずここは何のためのページですか
御社の顧客, 取引先, 監査人, 社内責任者からOSS脆弱性やCVEの影響確認を求められたときに最初の回答材料を自動で整理するためのページです
このページでは依存関係ファイルやSBOMをブラウザ内で加工し公開OSS名とversionなど必要最小限の情報だけを送信して無料の一次調査レポートを作成します
このページはどのような責任者に向いていますか
次のような責任を持つあなたに向いています
- 顧客からのセキュリティ確認に回答する責任者
- B2B, SaaSのCTO, 開発責任者, 情報セキュリティ責任者
- 受託開発や保守案件で納品前確認を行う責任者
- ISMS, SOC2, Pマーク の委託先審査に備える責任者
- DependabotやSCAツールのアラートを整理する責任者
- 顧客向け回答と開発者向け確認依頼の間をつなぐ責任者
このページの無料レポートどのような場面で使うものですか
次の場面です
- 顧客から特定CVEの影響確認が来たとき
- OSS脆弱性対応状況を説明する必要があるとき
- SBOMを作ったが脆弱性説明まで整理できていないとき
- DependabotやSCAツールのアラートが多すぎるとき
- 納品前にOSS脆弱性の一次確認をしたいとき
- 監査や委託先審査に向けて判断記録を残したいとき
このページで最終的な安全性を証明できますか
できません
このページの無料レポートはOSS脆弱性の一次調査資料です
安全性保証, 影響なし証明, 脆弱性診断, 侵入テスト, ソースコードレビュー, 到達可能性解析を代替するものではありません
それでも無料レポートを作る意味はありますか
あります
最終判断の前にまず次を整理できるからです
- どの公開OSSが含まれているか
- どのversionが確認されたか
- 既知脆弱性候補があるか
- 修正版候補があるか
- 顧客回答前に何を追加確認すべきか
- 開発者へ何を確認依頼すべきか
- 現時点で断定できない事項は何か
このページの無料レポートは顧客にそのまま提出できますか
このページの無料レポートは顧客提出前の一次調査資料として利用してください
顧客へ提出する場合は御社の責任者が内容を確認し御社の責任で提出してください
正式リリースでは顧客提出可能詳細レポートを提供予定です
顧客への一次回答文は作られますか
作成します
ただしこのページの無料レポートで作る文面は最終回答ではなく確認済み事項と未確認事項を分けた一次回答のたたき台です
顧客へ断定的に安心させる文面ではなく誠実に初動状況を伝える文面です
顧客から回答期限を切られている場合に使えますか
使えます
ただし最終判断を急ぐ場合でもこのページの無料レポートだけで影響なしと断定しないでください
このページの無料レポートはあなたが開発者やセキュリティ担当へ確認依頼するための出発点として使ってください
顧客から特定CVEを指定されている場合にも使えますか
使えます
加工済み依存関係データに含まれる公開OSSとversionをもとに該当するCVE候補を照合します
ただし指定されたCVEと依存関係の対応関係が曖昧な場合やvendor独自のadvisoryが関係する場合は追加確認が必要です
DependabotやSnykやTrivyの代わりになりますか
代わりにはなりません
このページでの成果物は脆弱性検出ツールを置き換えるものではありません
Dependabot, Snyk, Trivy, Grype, OSV-Scanner, yamory, FutureVulsなどで得られた情報やlockfileをもとに顧客説明と初動整理に使える一次調査資料を作る位置づけです
既にSCAツールを使っている場合にも意味がありますか
あります
SCAツールは検出に強みがあります
このページは検出結果を顧客説明 開発者確認 監査証跡の入口に変換することを狙っています
ソースコードを送る必要がありますか
ありません
このページではソースコード全文を送信しません
依存関係ファイルやSBOMをブラウザ内で読み取り必要最小限の加工済み依存関係データだけを送信する設計です
package-lock.json やSBOMの生ファイルは送信されますか
生ファイルは送信しません
ブラウザ内で読み取り依存関係情報だけを抽出しprivate情報やURLを削除または匿名化した加工済みデータだけを送信します
送信する加工済み情報と送信しない生ファイルの違いを送信前にあなたの目で確認できます
生ファイルをストラテジアが預かりますか
預かりません
このページでは生ファイルをサーバーへ送信せずブラウザ内で加工した後の最小限の依存関係データだけを送信します
加工前のデータをストラテジアが取得することはありますか
ありません
このページの設計目的は加工前の状態のデータを取得することではありません
ストラテジアが無料レポート作成に使うのは送信前にあなたが確認した加工済みデータです
Google Analyticsには何が送られますか
ページ閲覧, CTAクリック, セクション到達, 加工セクション開始, 送信同意, PDF生成, PDFダウンロードなどのWebサイトでの一般行動データを計測しています
当然ながらGoogle Analytics宛にもあなたの送ろうとしているファイル名, package名, version, CVE ID, private package名, URL, 社内ドメイン, JSON本文などは一切送りません
Google Analyticsを無効化した環境でも使えますか
基本的にこのページの無料レポート作成処理とこのページのGoogle Analytics計測は分離しています
もちろんあなたがこのページをGoogle Analytics無効にしてもこのページの機能を使うことはできます
また御社組織のブラウザ設定やセキュリティ製品により一部の計測が遮断される場合があります
計測が遮断されても加工済みデータ送信と無料レポート生成が動くように設計しています
このページになぜGoogle Analyticsを入れているのですか
このページの無料レポート作成までの導線を改善するためです
どの説明で不安が残りどこで操作が止まりやすいかを把握しこのページを改善するために使っています
あなたの送ろうとしている情報の依存関係の中身を把握する目的ではありません
Google Analyticsに私のSBOM情報を送らないことをどう確認できますか
ブラウザの開発者ツールでNetworkタブを確認してください
Google Analyticsへ送信されるeventにファイル名, package名, version, CVE ID, JSON本文が含まれていないかを確認できます
ストラテジアはあなたがこれを確認してくれることを歓迎します
なぜならセキュリティに意識が向いているあなたにこそこのページを安心して使ってほしいからです
どのように加工するか知りたいからこのページのソースを確認してもよいですか
はい
ぜひ確認してください
ストラテジアの説明だけを信じる必要はありません
セキュリティに意識があるあなたの目でこのページのソース, 開発者ツール, Networkタブ, 加工処理に使っているJavaScriptを確認し納得したうえでデータ送信してください
そのことでストラテジアの潔白が示せるのならお安いものです
Networkタブで何を見ればよいですか
次を確認してください
- ファイル選択だけで通信が発生していないか
- 加工前データがAPIへ送られていないか
- 送信ボタンを押した後のpayloadが加工済みJSONだけか
- Google Analyticsへ依存関係の中身が送られていないか
- secret候補検出時に送信が止まるか
private packageはどう扱いますか
private package名は匿名化して扱います
private packageは公開脆弱性DBで照合できないためレポートでは匿名化されたprivate packageとして件数のみ表示し公開OSS照合の対象外であることを示します
private registry URLはどう扱われますか
削除します
private registry URLは公開OSS脆弱性照合に不要であり社内情報を含む可能性があるため送信しない設計です
git URLやVCS URLはどう扱いますか
削除します
git URLやVCS URLには社内リポジトリ名, private repository名, 認証情報が含まれる可能性があります
このページ無料レポートに必要な情報ではないため送信しません
secret候補を検出した場合はどうなりますか
secret候補が検出された場合は送信を停止します
御社側で対象箇所を確認し必要に応じて削除, 修正, ローテーションを行ってから再度利用してください
secret候補の値はストラテジアに送りますか
送りません
secret候補はブラウザ内で検出し送信停止の判断に使います
候補文字列そのものをストラテジアへ送る目的はありません
public package名とversionだけでも機密ではありませんか
確かに機密性を持ち得ます
public package名とversionだけでも技術スタックや脆弱性状況を推測できる場合があります
そのため送信前に必要データにだけ最小化しあなたの確認をしてもらいます
ファイル名は送りますか
送りません
Google AnalyticsにもAPIにも生のファイル名を送りません
必要な場合でもfile type bucketのような分類値にとどめます
ファイルサイズは送りますか
生のファイルサイズではなく分類値として扱います
たとえば under_1mb, 1_5mb, 5_10mb, over_10mb のようなbucketです
対応しているファイルは何ですか
初期版では次のとおりです
package-lock.jsonyarn.lockpnpm-lock.yamlgo.modrequirements.txtpoetry.lockpom.xml- CycloneDX
- SPDX
requirements.txt でversionを固定していない場合はどうなりますか
照合精度が限定されます
requests>=2.28 や django のように実際のversionが分からない場合は既知脆弱性の該当有無を正確に判定できないことがあります
その場合はレポートにversion不明または追加確認が必要であることを表示します
pom.xml だけでMavenの推移的依存まで分かりますか
限定的です
pom.xml はlockfileではないため推移的依存の完全な解決には追加処理が必要になる場合があります
このページの無料レポートでは直接依存を中心に扱い制約を明記します
CycloneDX SBOMやSPDX SBOMは安全ですか
安全とは断定できません
SBOMはソフトウェア部品表であり生成方法によってはmetadata, file path, external, reference, service情報などを含む場合があります
このページではSBOM全体を送信せずブラウザ内でcomponentやpackageに関する最小限の情報だけを抽出します
Docker imageのSBOMにも対応できますか
SBOM形式としてCycloneDXまたはSPDXに変換されていれば対応可能な範囲があります
ただしOS packageやcontainer runtimeの文脈は初期版では制約が出る可能性があります
OS packageの脆弱性も扱えますか
初期版では主にアプリケーションのOSS依存関係を扱います
OS packageやcontainer imageの詳細な脆弱性管理は正式リリース後の拡張候補です
ライセンスリスクも確認できますか
初期版の主目的はOSS脆弱性の一次調査です
OSSライセンス確認は正式リリース後の拡張候補です
KEVやEPSSのような悪用状況も見ますか
正式な実装では公開情報として参照できる範囲で悪用状況や悪用可能性に関する指標を補助情報として扱います
ただしこのページの無料レポートでは最終判断ではなく優先確認の材料として扱います
CVSSだけで優先度を決めますか
いいえ
CVSSだけで決めません
修正版の有無 依存種別 本番利用の確認要否 悪用状況 追加確認の必要性などを組み合わせて優先確認候補を整理します
本番環境で使っているか判断できますか
依存関係情報だけでは断定できません
本番ビルドに含まれるか, 実行時に読み込まれるか, 該当機能を使っているかは御社側で確認が必要です
外部から到達可能か判断できますか
依存関係情報だけでは判断できません
ネットワーク構成, アプリケーション経路, 認証前アクセスの有無, 実際の利用機能の確認が必要です
脆弱な関数を呼び出しているか判断できますか
初期版では判断できません
その確認にはソースコード解析, 到達可能性解析, 実行時情報などが必要です
影響なしと判断してくれますか
このページの無料レポートは影響なしなどについて最終判断は行いません
依存関係情報だけでは本番利用有無, 外部到達可能性, 該当機能の利用有無を断定できないためです
レポートでは影響判断に必要な追加確認事項を整理します
Human Reviewとは何ですか
自動処理だけでは判断しないほうがよい項目を人による確認が必要な項目として示す考え方です
RCEの可能性があるもの, 悪用確認済みのもの, 本番影響が大きい可能性があるもの, 利用文脈が不明なものはHuman Review扱いにすることがあります
ストラテジアの担当者が内容を確認しますか
このページの無料レポートではストラテジア担当者による個別確認を含みません
自動処理により加工済みデータをから概要レポートを生成します
このページの無料レポート作成前に個別問い合わせは必要ですか
必要ありません
このページの無料レポートは個別問い合わせなしで進められるように設計しています
まずはこのFAQとデータ取り扱い説明を確認し納得できる場合だけ加工済みデータを送信してください
個別の利用可否を事前確認できますか
このページの無料レポートの範囲では個別確認をしません
高度な事情があり自動レポートの範囲を超える場合は正式リリース後の詳細レポートや専門家レビューの対象として検討してください
どうしても高度な質問がある場合はどうすればよいですか
このページの無料レポートの範囲で解決できない高度な質問は正式リリース後の専門家レビューや個別支援の対象になります
ただし無料レポートの作成自体はこのページで自動完結するため初歩的な利用可否確認の問い合わせは不要です
このページの無料レポートの結果が期待と違った場合はどうなりますか
このページの無料レポートは一次調査資料です
入力ファイルの形式, version固定の有無, SBOMの粒度, private packageの割合により結果の精度や情報量が変わります
結果が限定的な場合でもレポートではその制約を表示します
入力データが不完全でも使えますか
使える場合があります
ただし不完全な入力では照合結果も限定的になります
レポートでは不明, 追加確認, version不明, 照合不可などとして表示します
同じファイルを何度も使えますか
利用できます
ただし生成されるレポートはその時点の加工済みデータと公開脆弱性情報に基づきます
公開脆弱性情報は時間とともに変わるため後日結果が変わる可能性があります
このページの無料レポートを作成したら誰に渡すのですが
まずは社内簡易確認用です
渡すべき主な相手は開発者, セキュリティ担当者, 情シス責任者, 営業, CS, 監査担当者です
顧客へ提出する場合は御社の責任者が内容を確認してください
社内稟議に使えますか
このページの無料レポートは正式な購買稟議資料というより初動調査と必要性確認の材料です
正式リリース後の有料詳細レポートや月次レポートは稟議に使える内容で整備する予定です
有料レポートはいつ利用できますか
現時点では Coming Soon です
まずは無料レポートの提供を通じて正式リリースの範囲を整備します
有料レポートの価格はどこに書かれていますか
このページのComing Soonセクションに税込の予定価格を掲載しています
このページの無料レポートは費用はかかりません
月次監視はありますか
現在はComing Soonです
将来的には月次OSS脆弱性監視レポートとして新規CVE候補, 差分, 優先確認項目, 監査向け記録を提供することを検討しています
専門家レビューはありますか
現在はComing Soonです
自動レポートだけでは判断しないほうがよい項目について専門家レビュー付きレポートを提供することを検討しています
Agencyプランは誰向けですか
受託開発会社, Web制作会社, セキュリティ診断会社, 情報システム支援会社など複数顧客向けにレポートを使いたい会社向けです
現在はComing Soonです
画面で選んだファイルがすぐ送信されることはありますか
いいえ
すぐ送信はしません
ファイル選択後はまずブラウザ内で読み取り加工し送信前確認画面を表示します
あなたが同意するまで加工済みデータも送信しません
送信前に加工済みデータの中身を確認できますか
確認できます
送信される情報と送信されない情報, 加工結果概要, private package件数, URL削除件数, secret候補検出有無などを表示します
加工済みJSON本文まで確認できますか
確認できる設計を推奨しています
あなたが納得して送信できるようにpayload previewを表示する予定です
加工処理のコードは読めますか
読めるようにする方針です
ストラテジアは加工処理をできるだけ役割ごとに分けて確認しやすい形で実装します
外部CDNや外部スクリプトは使いますか
データ加工ページでは外部スクリプトを最小化する方針です
Google Analyticsを導入する場合でも依存関係の中身を送りません
会社のセキュリティポリシーでアップロードが禁止されています
このページは生ファイルアップロードではなくブラウザ内加工後にあなたが確認した後で最小データ送信を行います
ただし御社のポリシー上それでも送信できない場合は利用しないでください
正式リリース後にはCLI方式や社内環境での実行方式を検討する余地があります
私の会社からデータを送るには法務や情報セキュリティ部門の確認が必要です
必要であればこのページのデータ取り扱い説明, ソース確認の考え方, 送信される情報, 送信されない情報, FAQを確認資料として使ってください
このページの無料レポートは御社と弊社の個別契約や個別審査をしません
このページの無料レポート利用にNDAは必要ですか
このページの無料レポートではNDA必須な個別情報を受領しません
このページでは生ファイルや秘密情報を預かるのではなく加工済みデータだけを送信します
ただし御社のルールでこういうデータ提供の際にNDAが必要な場合はこのページのサービスを利用しないでください
個人情報を送ることはありますか
送りません
依存関係ファイルやSBOMから無料レポートに必要なpublic package名とversionなどだけを抽出します
個人情報が混入している可能性がある場合は利用しないか事前に除去してください
顧客名やプロジェクト名は送られますか
送りません
root project name, SBOM metadata, document, namespace, file pathなどは送信しない設計です
レポートに会社名や顧客名は入りますか
このページの無料レポートでは会社名や顧客名を入れません
正式リリース後の詳細レポートでは必要に応じて入力できる項目として検討します
このページの無料レポートのPDFは保存されますか
このページの無料レポート実装時に保存期間と削除方法を明記します
現在の方針ではこのページの無料レポート生成に必要な範囲で扱うこととして運用上不要な長期保存は避ける予定です
加工済みデータは保存されますか
このページの無料レポート生成と再表示に必要な範囲で扱います
保存期間, 削除方法, 利用目的は実装時の利用規約とプライバシーポリシーに明記します
削除依頼はできますか
正式実装時に削除方法を明記します
このページの無料レポートで扱うデータは最小化する方針ですが削除方法は利用開始前に確認できるようにします
レポート生成に失敗した場合はどうなりますか
エラー内容を分類して表示します
たとえば形式不明, version不明, secret候補検出, ファイルサイズ超過, 解析失敗, 外部照合失敗などです
加工対象ファイルサイズの上限はありますか
初期版では上限を設けます
大きなSBOMや複雑なlockfileではブラウザ内処理が重くなるためサイズ上限やCLI方式への拡張を検討します
スマートフォンでも使えますか
PCのブラウザで利用してください
依存関係ファイルやSBOMを扱うため開発環境または業務端末からの利用が現実的です
ブラウザは何を使えばいいですか
現代的なPCブラウザで構いません
具体的な対応ブラウザは実装時に明記します
このページの無料レポートだけで顧客対応を終えてよいですか
御社が受けている顧客からの対応要望の内容によります
このページの無料レポートは一次調査資料です
御社の顧客が最終影響判断や正式回答を求めている場合は御社で追加確認してください
レポートの内容に誤りがあった場合はどう考えればよいですか
このページの無料レポートは入力データと公開脆弱性情報に基づく自動生成資料です
入力データの不足, 公開情報の更新, 解釈の制約により誤差や不足が生じる可能性があります
最終判断は御社で確認してください
どこまで自動化されていますか
このページの無料レポート作成はファイル選択, ブラウザ内加工, 送信前確認, 加工済みデータ送信, PDF生成まで自動完結する設計です
無料レポート範囲ではストラテジアの担当者が個別にデータ等に触れ手を動かす工程は含んでいません
このFAQで解決しない場合はどうすればよいですか
このページの無料レポート作成に必要な初歩的な確認はこのFAQで完結するようにしています
御社固有の高度な判断, 契約上の通知義務, 顧客提出前レビュー, 影響なし判断, 専門家確認が必要な場合は正式リリース後の詳細レポートや専門家レビューの対象として検討してください
注意事項
本レポートは入力された加工済み依存関係データおよび公開脆弱性情報に基づくOSS脆弱性の一次調査資料です
本レポートは脆弱性診断侵入テストソースコードレビュー到達可能性解析法的判断契約上の通知義務判断を代替するものではありません
本レポートは入力データの完全性, 依存関係解決の完全性, 公開脆弱性情報の網羅性, 実行環境における影響有無を保証するものではありません
最終的な影響判断顧客提出リスク受容修正方針の確定はあなたの会社の責任で確認してください
現在の無料レポートではストラテジア担当者による個別確認専門家レビュー, 顧客提出文書の保証は含みません
ストラテジアについて
ストラテジアは中小企業の情報セキュリティ基盤の構築と運用を支援しています
このOSS脆弱性一次調査レポートは情報セキュリティ判断を属人的な作業にせず企業が顧客・開発者・監査人に説明できる状態を作るための取り組みです
- 脆弱性情報は増え続けます
- 顧客からの確認も増えます
- 監査や委託先審査でも説明責任は重くなります
その中で必要なのは単にアラートを増やすことではありません
必要なのは企業が自社の状況を整理し顧客に誠実に説明し開発者に具体的に依頼し監査で説明できる記録を残すこと です
OSS脆弱性一次調査レポートはその入口をオンラインで自動化するための取り組みです