「使用中のオープンソースで継続的にアップデートしていない」9割

今回は「「使用中のオープンソースで継続的にアップデートしていない」9割」についてご紹介します。

関連ワード (ソフトウェア等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 日本シノプシスは5月19日、オープンソースソフトウェア(OSS)のセキュリティやリスクなどを分析した、2022年の「Open Source Security and Risk Analysis(OSSRA)」レポートを解説する記者説明会を開催した。

 米本社のSynopsysが2021年に監査した2409のコード中、1つ以上の脆弱性を発見したコードは81%、ライセンス条件の競合を見つけたコードは53%、4年以上昔のコンポーネントを使い続けているコードは85%におよんでいる(脆弱性と保守の母数は2097)。

 調査結果から浮かび上がったOSS開発者の厳しい状況に対して、日本シノプシス ソフトウェア・インテグリティ・グループ シニア・セキュリティ・エンジニア 吉井雅人氏は「企業としても(開発者への)フィードバックや支援に取り組むべきだ」と指摘した。

 電子設計自動化(EDA)や半導体IPなどを手掛けるSynopsysは、Black Duck買収に伴うソフトウェア資産の監査を請け負っており、その一環としてOSSの脆弱性やライセンスの競合など、ソフトウェア品質をCybersecurity Research Center (CyRC) が解析し、結果をレポートして発表している。

 今年で7回目を数えるレポートでは、昨年2021年から64%増の2400を超える商用ソフトウェアの利用状況を調査したところ、OSSを含むコードの割合は97%(前年比1ポイントアップ)、全コードに占めるOSSの割合は78%(前年比3ポイントアップ)と圧倒的。「OSSを含まないコードはまれ。ほぼ皆無」(吉井氏)である。

 公開を前提としないプロプライエタリコードも皆無ではないが、数値で見れば22%前後。他のソリューションが公開するAPIの利用や設定情報で、動作を左右させるのが現在のアプリケーションを現す姿だ。吉井氏も「この傾向は持続する」と見ている。

 上図は2016年から2021年までのOSSから発見された脆弱性を含むコードの割合だが、2018年以降は増加傾向にあり、昨年ようやく落ち着いた。高いリスクを含んだコードの割合も同様だ。この改善理由について吉井氏は以下のように分析する。

 「セキュリティ予算の削減も相まって2020年は悪化。2021年は米国大統領がサイバーセキュリティの改善に努める大統領令に署名し、(ソフトウェアの部品表にあたる)ソフトウェアBOM(部品表)の作成やOSSのリスク管理に取り組んだ結果」

 コードあたりのOSSコンポーネント(部品)数も2020年は528ポイントだが、2021年は408ポイントに減少。それに伴ってコードあたりの平均脆弱性の数も減少しているが、「アプリケーションサイズも限界があり、500前後が一つの上限」(吉井氏)

 こちらは各OSSが採用するライセンスが競合していないか、もしくはライセンスに違反した状態でOSSを使用していないか表したグラフである。下段では30%の割合が「ライセンスがない~」状態を示しているが、Apacheなどライセンスを定めていない場合、コーディングした人物の著作物となるため、コードの複製や再頒布は著作権法に抵触しかねない。企業としては「非常に危険なもの」(吉井氏)になってしまう。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
カット野菜もシャキシャキ AIが仕切るスマート農業
IT関連
2021-05-21 13:49
動画をタップして後で検索、インタラクティブ動画「TIG」が描く映像の未来
ネットサービス
2021-06-02 01:53
ウェブブラウザー、今最もよく使われているのは?
IT関連
2022-04-13 07:34
コクヨGの物流企業、ピッキングアシストロボットを導入–AIが最短ルート提案
IT関連
2024-06-15 14:19
Android 15は変体仮名をデフォルトでサポート、Googleが発表
Android
2024-05-20 03:52
サテライトオフィス、コロナ禍で急成長 都も後押し
IT関連
2021-01-29 06:42
静的サイトジェネレータ「Astro 4.0」正式リリース。デバッグを容易にするDev Toolbarが登場、キャッシュ導入でビルド時間が80%短縮
HTML/CSS
2023-12-13 06:21
「Linux」でのユーザー管理のために知っておくべきコマンド6選
IT関連
2024-04-05 01:57
京大、全職員と学生の個人情報を誤って閲覧可能に システム改修時のミスに半年間気付かず
セキュリティ
2021-01-20 07:14
マイクロソフト、GIGAスクール構想で約300万台のWindows PCを出荷
IT関連
2021-04-16 12:52
AWS、第3世代「AMD EPYC」搭載EC2インスタンス「C6a」–コンピュート集約型ワークロード向け
IT関連
2022-02-17 22:51
DeNA、社内のIT資産管理システムを刷新–SaaSなどライセンス種類が急増で
IT関連
2022-02-04 01:48
シリコンバレーは中国のQ&Aサイト最大手Zhihuから何を学べるか
ネットサービス
2021-03-29 07:16
Hakuhodo DY ONE、「Notion」で3000人規模の情報活用と業務効率化を推進
IT関連
2024-09-21 21:08