メディア

あなたのソフトはOK? オープンソースのリスク分析Synopsysが調査(1/2 ページ)

大半のソフトウェアプログラムが、脆弱(ぜいじゃく)性やライセンス違反の問題を抱えている――。Synopsys(シノプシス)のソフトウェアインティグリティグループ(SIG)は、「2018オープンソースセキュリティ&リスク分析(OSSRA)」レポートについて、その概要を発表した。

» 2018年06月21日 11時30分 公開
[馬本隆綱EE Times Japan]

 Synopsys(シノプシス)のソフトウェアインティグリティグループ(SIG)は2018年6月19日、東京都内で記者会見し、「2018オープンソースセキュリティ&リスク分析(OSSRA)」レポートについて、その概要を発表した。調査結果から、「大半のソフトウェアプログラムが、脆弱(ぜいじゃく)性やライセンス違反の問題を抱えている」と指摘する。

 OSSRAレポートは、2017年にBlack Duckのオンデマンド監査を受けた1119個の匿名化された商用コードベースについて、同社のリサーチセンター「Synopsys Center for Open Source Research and Innovation(COSRI)」が検証/分析してまとめた。調査対象の業界は車載システムやビッグデータ、サイバーセキュリティ、エンタープライズソフトウェア、金融サービス、医療システム、IoT(モノのインターネット)、製造、モバイルアプリなど多岐にわたる。

調査したアプリの96%でオープンソースを活用

 企業のソフトウェア資産に占めるオープンソースソフトウェアの割合は急速に拡大しているという。こうした中で、2017年に報告されたオープンソースの脆弱性に関する案件は4800件を超えた。

これまで報告されたオープンソースに関する脆弱性の件数とその推移 出典:Synopsys
Tim Mackey氏

 SIGのシニアテクノロジーエバンジェリストを務めるTim Mackey氏は、「調査対象となったアプリケーションの96%に、何らかのオープンソースコンポーネントが組み込まれていた。その数はアプリケーション1つ当たり平均257個」と話す。多くのアプリケーションで、オープンソースの構成比が自社開発コードよりも高くなっているという。

 特に、調査したIoTアプリケーションにおいて、「コードベースの平均77%がオープンソースコンポーネントを含み、アプリゲーションごとに平均677件の脆弱性を発見した」と述べ、セキュリティが十分ではないと警鐘を鳴らす。

 また、インターネットやソフトウェア・インフラ業界では、ハイリスクの脆弱性を持つオープンソースを利用したアプリケーションの比率が67%で、最高レベルに達しているという。サイバーセキュリティ業界で用いられているアプリケーションでも、オープンソースの41%で脆弱性を持っていることが今回の調査で分かった。

オープンソースの利用は増加する。一方で、多くの脆弱性も検出されている (クリックで拡大) 出典:Synopsys
       1|2 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

RSSフィード

公式SNS

All material on this site Copyright © ITmedia, Inc. All Rights Reserved.
This site contains articles under license from AspenCore LLC.