大半のソフトウェアプログラムが、脆弱(ぜいじゃく)性やライセンス違反の問題を抱えている――。Synopsys(シノプシス)のソフトウェアインティグリティグループ(SIG)は、「2018オープンソースセキュリティ&リスク分析(OSSRA)」レポートについて、その概要を発表した。
Synopsys(シノプシス)のソフトウェアインティグリティグループ(SIG)は2018年6月19日、東京都内で記者会見し、「2018オープンソースセキュリティ&リスク分析(OSSRA)」レポートについて、その概要を発表した。調査結果から、「大半のソフトウェアプログラムが、脆弱(ぜいじゃく)性やライセンス違反の問題を抱えている」と指摘する。
OSSRAレポートは、2017年にBlack Duckのオンデマンド監査を受けた1119個の匿名化された商用コードベースについて、同社のリサーチセンター「Synopsys Center for Open Source Research and Innovation(COSRI)」が検証/分析してまとめた。調査対象の業界は車載システムやビッグデータ、サイバーセキュリティ、エンタープライズソフトウェア、金融サービス、医療システム、IoT(モノのインターネット)、製造、モバイルアプリなど多岐にわたる。
企業のソフトウェア資産に占めるオープンソースソフトウェアの割合は急速に拡大しているという。こうした中で、2017年に報告されたオープンソースの脆弱性に関する案件は4800件を超えた。
SIGのシニアテクノロジーエバンジェリストを務めるTim Mackey氏は、「調査対象となったアプリケーションの96%に、何らかのオープンソースコンポーネントが組み込まれていた。その数はアプリケーション1つ当たり平均257個」と話す。多くのアプリケーションで、オープンソースの構成比が自社開発コードよりも高くなっているという。
特に、調査したIoTアプリケーションにおいて、「コードベースの平均77%がオープンソースコンポーネントを含み、アプリゲーションごとに平均677件の脆弱性を発見した」と述べ、セキュリティが十分ではないと警鐘を鳴らす。
また、インターネットやソフトウェア・インフラ業界では、ハイリスクの脆弱性を持つオープンソースを利用したアプリケーションの比率が67%で、最高レベルに達しているという。サイバーセキュリティ業界で用いられているアプリケーションでも、オープンソースの41%で脆弱性を持っていることが今回の調査で分かった。
Copyright © ITmedia, Inc. All Rights Reserved.