「使用中のオープンソースで継続的にアップデートしていない」9割

今回は「「使用中のオープンソースで継続的にアップデートしていない」9割」についてご紹介します。

関連ワード （ソフトウェア等） についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

　日本シノプシスは5月19日、オープンソースソフトウェア（OSS）のセキュリティやリスクなどを分析した、2022年の「Open Source Security and Risk Analysis（OSSRA）」レポートを解説する記者説明会を開催した。

　米本社のSynopsysが2021年に監査した2409のコード中、1つ以上の脆弱性を発見したコードは81％、ライセンス条件の競合を見つけたコードは53％、4年以上昔のコンポーネントを使い続けているコードは85％におよんでいる（脆弱性と保守の母数は2097）。

　調査結果から浮かび上がったOSS開発者の厳しい状況に対して、日本シノプシス ソフトウェア・インテグリティ・グループ シニア・セキュリティ・エンジニア 吉井雅人氏は「企業としても（開発者への）フィードバックや支援に取り組むべきだ」と指摘した。

　電子設計自動化（EDA）や半導体IPなどを手掛けるSynopsysは、Black Duck買収に伴うソフトウェア資産の監査を請け負っており、その一環としてOSSの脆弱性やライセンスの競合など、ソフトウェア品質をCybersecurity Research Center (CyRC) が解析し、結果をレポートして発表している。

　今年で7回目を数えるレポートでは、昨年2021年から64％増の2400を超える商用ソフトウェアの利用状況を調査したところ、OSSを含むコードの割合は97％（前年比1ポイントアップ）、全コードに占めるOSSの割合は78％（前年比3ポイントアップ）と圧倒的。「OSSを含まないコードはまれ。ほぼ皆無」（吉井氏）である。

　公開を前提としないプロプライエタリコードも皆無ではないが、数値で見れば22％前後。他のソリューションが公開するAPIの利用や設定情報で、動作を左右させるのが現在のアプリケーションを現す姿だ。吉井氏も「この傾向は持続する」と見ている。

　上図は2016年から2021年までのOSSから発見された脆弱性を含むコードの割合だが、2018年以降は増加傾向にあり、昨年ようやく落ち着いた。高いリスクを含んだコードの割合も同様だ。この改善理由について吉井氏は以下のように分析する。

　「セキュリティ予算の削減も相まって2020年は悪化。2021年は米国大統領がサイバーセキュリティの改善に努める大統領令に署名し、（ソフトウェアの部品表にあたる）ソフトウェアBOM（部品表）の作成やOSSのリスク管理に取り組んだ結果」

　コードあたりのOSSコンポーネント（部品）数も2020年は528ポイントだが、2021年は408ポイントに減少。それに伴ってコードあたりの平均脆弱性の数も減少しているが、「アプリケーションサイズも限界があり、500前後が一つの上限」（吉井氏）

　こちらは各OSSが採用するライセンスが競合していないか、もしくはライセンスに違反した状態でOSSを使用していないか表したグラフである。下段では30％の割合が「ライセンスがない～」状態を示しているが、Apacheなどライセンスを定めていない場合、コーディングした人物の著作物となるため、コードの複製や再頒布は著作権法に抵触しかねない。企業としては「非常に危険なもの」（吉井氏）になってしまう。