Mend(メンド、旧WhiteSource)は2011年にイスラエルで創業されたSCA(Software Composition Analysis)のパイオニアで、2022年に「WhiteSource」からブランドを刷新した。オープンソース依存のライセンス管理と脆弱性検出に強く、Renovateの開発元としても知られる。Snyk・Sonatypeと並ぶSCA御三家の一角で、エンタープライズ向けの監査機能とライセンスポリシー管理に重きを置いた設計が特徴である。
この記事の目次
- Mendの製品体系
- ライセンスポリシーの自動化
- Reachability Analysisの強み
- 導入と運用の現実
- まとめ
Mendの製品体系
Mendのプラットフォームは「Mend SCA」「Mend SAST」「Mend Renovate」「Mend Container」「Mend Supply Chain Defender」の5モジュールで構成される。SCAはOSS依存の脆弱性・ライセンスを検出する中核機能で、SASTは2021年に買収したXanitizerをベースに実装されている。RenovateはOSS版を維持しつつ、エンタープライズ向け機能を追加した有償ホスト版も提供する。
Supply Chain Defenderは2022年に追加された比較的新しい機能で、npm・PyPI・RubyGemsに公開された悪意あるパッケージを検出してブロックする。タイポスクワッティングやマリシャスパッケージなど、サプライチェーン攻撃が表面化する依存解決時点で防御する設計で、ZeroDay保護を狙う企業に評価されている。
ライセンスポリシーの自動化
MendがSnykと差別化される最大領域はライセンス管理機能である。GPL・AGPL・SSPL等コピーレフトライセンスの利用を自動検知し、組織ポリシーに違反する依存の使用をビルドパイプラインで拒否できる。「商用配布禁止のライセンスを社外配布製品に混入させない」というOSSコンプライアンスの中核要件をシステム化できる。
ポリシーはJSONで宣言的に記述し、プロジェクト単位・チーム単位で継承可能だ。違反検出時には自動的にチケット起票し、法務部門に通知するワークフローも構築できる。ライセンス監査を年次から継続的なプロセスへ変える点が、上場企業や買収を検討するスタートアップでMendが選ばれる理由となっている。
Reachability Analysisの強み
Mendは「Reachability Analysis(到達可能性解析)」と呼ばれる機能で脆弱性の実害度を判定する。単に依存ツリーに脆弱なパッケージが含まれるだけでなく、アプリケーションコードから実際にその脆弱関数が呼び出されるかをコールグラフで検証する仕組みで、誤検知に近い「未到達脆弱性」を切り分けられる。
Snykも同様の機能を提供するが、対応言語と精度で歴史的にMendが先行している。誤検知やノイズに悩むセキュリティチームにとって、Reachabilityは現実的な優先順位付けを可能にする重要機能であり、CISO向けレポートでも説得力のあるメトリクスを提供する。Java・C#・JavaScriptで特に成熟しており、Pythonは発展途上の段階だ。
導入と運用の現実
Mend導入のステップは「OSS依存の棚卸し」「ライセンスポリシーの定義」「CI連携とブロッキング閾値の設定」「Reachabilityによる優先順位付け」の4段階が標準で、PoCには最低でも3ヶ月程度の伴走が必要となる。Snyk・Dependabotほどセルフサーブで完結する設計ではなく、エンタープライズ向けの伴走営業色が強い。
価格は非公開で個別見積もりとなり、コミッター数と機能セットで決まる。数千万円規模になることもあり、小規模スタートアップにはオーバースペックだが、金融・医療・公共などコンプライアンス要件が厳しい業界では投資対効果が見合う。Renovateを無償運用しつつMend SCAは買う、というハイブリッド構成も実務的だ。
まとめ
Mendはライセンス管理・Reachability・Supply Chain Defenderの3点で他SCAを差別化するエンタープライズ向けプラットフォームである。Snykが開発者UXに振った構成なのに対し、Mendは監査・法務・CISOを満たす機能群が強い。規制業界やM&A前後の企業がOSSリスクを定量化したいとき、最有力候補となる存在だ。
※本記事はIT用語辞典の手書きドラフトです。公開前に最新情報・出典を確認のうえ加筆修正してください。
コメント