「使用中のオープンソースで継続的にアップデートしていない」9割

今回は「「使用中のオープンソースで継続的にアップデートしていない」9割」についてご紹介します。

関連ワード (ソフトウェア等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 日本シノプシスは5月19日、オープンソースソフトウェア(OSS)のセキュリティやリスクなどを分析した、2022年の「Open Source Security and Risk Analysis(OSSRA)」レポートを解説する記者説明会を開催した。

 米本社のSynopsysが2021年に監査した2409のコード中、1つ以上の脆弱性を発見したコードは81%、ライセンス条件の競合を見つけたコードは53%、4年以上昔のコンポーネントを使い続けているコードは85%におよんでいる(脆弱性と保守の母数は2097)。

 調査結果から浮かび上がったOSS開発者の厳しい状況に対して、日本シノプシス ソフトウェア・インテグリティ・グループ シニア・セキュリティ・エンジニア 吉井雅人氏は「企業としても(開発者への)フィードバックや支援に取り組むべきだ」と指摘した。

 電子設計自動化(EDA)や半導体IPなどを手掛けるSynopsysは、Black Duck買収に伴うソフトウェア資産の監査を請け負っており、その一環としてOSSの脆弱性やライセンスの競合など、ソフトウェア品質をCybersecurity Research Center (CyRC) が解析し、結果をレポートして発表している。

 今年で7回目を数えるレポートでは、昨年2021年から64%増の2400を超える商用ソフトウェアの利用状況を調査したところ、OSSを含むコードの割合は97%(前年比1ポイントアップ)、全コードに占めるOSSの割合は78%(前年比3ポイントアップ)と圧倒的。「OSSを含まないコードはまれ。ほぼ皆無」(吉井氏)である。

 公開を前提としないプロプライエタリコードも皆無ではないが、数値で見れば22%前後。他のソリューションが公開するAPIの利用や設定情報で、動作を左右させるのが現在のアプリケーションを現す姿だ。吉井氏も「この傾向は持続する」と見ている。

 上図は2016年から2021年までのOSSから発見された脆弱性を含むコードの割合だが、2018年以降は増加傾向にあり、昨年ようやく落ち着いた。高いリスクを含んだコードの割合も同様だ。この改善理由について吉井氏は以下のように分析する。

 「セキュリティ予算の削減も相まって2020年は悪化。2021年は米国大統領がサイバーセキュリティの改善に努める大統領令に署名し、(ソフトウェアの部品表にあたる)ソフトウェアBOM(部品表)の作成やOSSのリスク管理に取り組んだ結果」

 コードあたりのOSSコンポーネント(部品)数も2020年は528ポイントだが、2021年は408ポイントに減少。それに伴ってコードあたりの平均脆弱性の数も減少しているが、「アプリケーションサイズも限界があり、500前後が一つの上限」(吉井氏)

 こちらは各OSSが採用するライセンスが競合していないか、もしくはライセンスに違反した状態でOSSを使用していないか表したグラフである。下段では30%の割合が「ライセンスがない~」状態を示しているが、Apacheなどライセンスを定めていない場合、コーディングした人物の著作物となるため、コードの複製や再頒布は著作権法に抵触しかねない。企業としては「非常に危険なもの」(吉井氏)になってしまう。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
IoT製品のセキュリティ適合性評価制度を構築、経済産業省が最終とりまとめ
IT関連
2024-04-09 02:40
ウエルシアHD、リテールメディア「カタリナネットワーク」導入–企業横断での展開進む
IT関連
2024-10-05 17:14
EISAの出現とISAバスの確立 PC標準化への道 :”PC”あるいは“Personal Computer”と呼ばれるもの、その変遷を辿る(1/3 ページ)
トップニュース
2021-02-23 07:55
さいたま市、基幹業務システムの統合基盤をNutanixに移行
IT関連
2024-07-13 18:24
マイクロソフト、AIシステムの脆弱性を評価するツール「Counterfit」を公開
IT関連
2021-05-06 15:02
アルペンが社内人材と“割り切り”で進めた「脱レガシー」と「内製化」
IT関連
2023-11-18 09:37
「Raspberry Pi」パワーユーザー向けの冷却ファン
IT関連
2023-04-02 06:45
セールスフォースが満を持して生成AIを自社製品に組み込む理由
IT関連
2023-07-28 13:13
AWS障害、5時間でほぼ復旧 気象庁Webサイトなどに影響【各サービス復旧状況を追記】
クラウドユーザー
2021-02-22 01:02
バイデン氏、巨大企業の規制推進派カーン氏をFTC委員長に
IT関連
2021-06-16 14:30
第1回:知っておきたい電子サインの基礎知識
IT関連
2021-04-05 23:32
Eコマース企業Wayfairに見る機械学習活用のポイントとは
IT関連
2023-07-29 03:52
IISのログをコマンド伝達に悪用する新しい手口のサイバー攻撃が発見
IT関連
2022-11-03 04:24
ドリーム・アーツ、米企業とクラウドセキュリティを開始–JCBが最初の顧客に
IT関連
2023-12-22 02:38