「使用中のオープンソースで継続的にアップデートしていない」9割

今回は「「使用中のオープンソースで継続的にアップデートしていない」9割」についてご紹介します。

関連ワード (ソフトウェア等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 日本シノプシスは5月19日、オープンソースソフトウェア(OSS)のセキュリティやリスクなどを分析した、2022年の「Open Source Security and Risk Analysis(OSSRA)」レポートを解説する記者説明会を開催した。

 米本社のSynopsysが2021年に監査した2409のコード中、1つ以上の脆弱性を発見したコードは81%、ライセンス条件の競合を見つけたコードは53%、4年以上昔のコンポーネントを使い続けているコードは85%におよんでいる(脆弱性と保守の母数は2097)。

 調査結果から浮かび上がったOSS開発者の厳しい状況に対して、日本シノプシス ソフトウェア・インテグリティ・グループ シニア・セキュリティ・エンジニア 吉井雅人氏は「企業としても(開発者への)フィードバックや支援に取り組むべきだ」と指摘した。

 電子設計自動化(EDA)や半導体IPなどを手掛けるSynopsysは、Black Duck買収に伴うソフトウェア資産の監査を請け負っており、その一環としてOSSの脆弱性やライセンスの競合など、ソフトウェア品質をCybersecurity Research Center (CyRC) が解析し、結果をレポートして発表している。

 今年で7回目を数えるレポートでは、昨年2021年から64%増の2400を超える商用ソフトウェアの利用状況を調査したところ、OSSを含むコードの割合は97%(前年比1ポイントアップ)、全コードに占めるOSSの割合は78%(前年比3ポイントアップ)と圧倒的。「OSSを含まないコードはまれ。ほぼ皆無」(吉井氏)である。

 公開を前提としないプロプライエタリコードも皆無ではないが、数値で見れば22%前後。他のソリューションが公開するAPIの利用や設定情報で、動作を左右させるのが現在のアプリケーションを現す姿だ。吉井氏も「この傾向は持続する」と見ている。

 上図は2016年から2021年までのOSSから発見された脆弱性を含むコードの割合だが、2018年以降は増加傾向にあり、昨年ようやく落ち着いた。高いリスクを含んだコードの割合も同様だ。この改善理由について吉井氏は以下のように分析する。

 「セキュリティ予算の削減も相まって2020年は悪化。2021年は米国大統領がサイバーセキュリティの改善に努める大統領令に署名し、(ソフトウェアの部品表にあたる)ソフトウェアBOM(部品表)の作成やOSSのリスク管理に取り組んだ結果」

 コードあたりのOSSコンポーネント(部品)数も2020年は528ポイントだが、2021年は408ポイントに減少。それに伴ってコードあたりの平均脆弱性の数も減少しているが、「アプリケーションサイズも限界があり、500前後が一つの上限」(吉井氏)

 こちらは各OSSが採用するライセンスが競合していないか、もしくはライセンスに違反した状態でOSSを使用していないか表したグラフである。下段では30%の割合が「ライセンスがない~」状態を示しているが、Apacheなどライセンスを定めていない場合、コーディングした人物の著作物となるため、コードの複製や再頒布は著作権法に抵触しかねない。企業としては「非常に危険なもの」(吉井氏)になってしまう。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
オラクル、データベース専用機「Exadata X10M」を発表–96コアの第4世代「AMD EPYC」搭載
IT関連
2023-06-24 11:12
富士通ら、オープン化した5G SA仮想化基地局の商用通信に成功
IT関連
2022-02-26 18:01
Otter.ai、AIで会議を支援する新たな機能群「Meeting GenAI」を発表
IT関連
2024-02-15 14:18
国内コンサルティング市場、DX支援の需要で再び高成長–IDC Japan
IT関連
2022-05-25 20:16
ツイッターが音声会議「スペース」をフォロワー600人以上のユーザーに公開、チケット、リマインダーなども追加
ネットサービス
2021-05-05 05:23
[速報]Google、新デザインフレームワーク「Material You」発表。デバイスからアプリケーションまでGoogleの製品すべてに適用へ。Google I/O 2021
Android
2021-05-19 16:28
パナソニック、国内最大規模のLLMを自社用に構築へ–2024年秋に利用開始
IT関連
2024-07-04 17:38
楽天モバイル、「楽天市場」でSIMフリーiPhone発売 Apple公式リセラーに
くらテク
2021-06-23 04:15
Ziddyちゃんの「私を社食に連れてって」:レッドハットの「Bistro Red Hat」でオープンな社風を満喫編
IT関連
2023-05-20 17:01
セキュリティ管理者が脆弱性の影響をベンダーに聞かなければ判断できない裏事情
IT関連
2022-07-09 20:38
CISA、ランサムウェア「ESXiArgs」の被害に対応する復旧ツールを公開
IT関連
2023-02-10 11:15
キヤノンITS、従来型EDIの早期切り替えを支援する新接続サービスを開始
IT関連
2023-05-11 05:03
エア・インディアが乗客情報の流出を発表、サイバー攻撃を受けたSITAのデータ漏洩被害は当初の想定より広範囲
セキュリティ
2021-05-25 12:01
中国で進む古木・名木管理のデジタル化–テンセントがクラウド基盤でサポート
IT関連
2023-06-16 04:20