概要
スウェーデンのソフトウェアサプライチェーン企業FossID ABは、AIツールによるコード生成・変更が急増する現状に対応した新技術「Agentic SCA(Software Composition Analysis)」を発表した。従来のSCAツールが開発後の下流フェーズで静的にスキャンするのに対し、Agentic SCAはAIエージェントが生成するコードをリアルタイムかつ継続的に監査する仕組みを提供する。自動車・半導体・通信・ソフトウェアなどの業界で選定されたエンタープライズ顧客によるパイロット段階にあり、2026年後半に正式リリースが予定されている。
技術的なアーキテクチャ
Agentic SCAの核心はFossIDが独自に提供する「FossID MCPサーバー」だ。MCP(Model Context Protocol)を介してFossIDのナレッジベースと分析ツールをAIシステムから直接呼び出せるようにする。これによりCopilotなどのAIコーディングアシスタントや自律的なエージェントが、コードを生成・編集する瞬間にリアルタイムでオープンソースライセンス・脆弱性・著作権の問題を検出できる。
主な機能は以下の通りだ。
- 完全なファイルから断片的なコードスニペットまで、オープンソース・サードパーティ・プロプライエタリコードの検出
- ライセンス義務の即時特定(複雑な混合ライセンスシナリオにも対応)
- 脆弱性の即時フラグ立てと修正ガイダンスの提供
- シグネチャスキャン・スニペット検出・依存関係分析を含む多層ソースコード解析
- コードの変化に応じた継続的な自動レポート生成
背景と課題
FossIDは、依存関係ベースのマネージドコードを前提として設計された従来型SCAツールが、AIによる高速なコード生成に追いつけなくなっているという問題意識をもとにAgentic SCAを開発した。AIが生成するコードはサードパーティライブラリの断片やスニペットを多数含むことがあり、既存のSCAツールではこれらを適切に検出できないケースがある。コンプライアンス違反や未検知の脆弱性が開発パイプラインに紛れ込む新たなリスクとなっており、Agentic SCAはこのギャップを埋めることを目的としている。
展望
AIコーディングツールの普及に伴い、生成されるコードに対するセキュリティ・ライセンスコンプライアンスの確保はますます重要な課題となっている。FossIDのアプローチは、コンプライアンスチェックを「後工程」から「生成時点」へと前倒しするという業界トレンドに沿ったもので、開発ライフサイクル全体での自動ガバナンスの実現に向けた動きが加速しつつある。