あなたのソフトはOK? オープンソースのリスク分析:Synopsysが調査(2/2 ページ)
大半のソフトウェアプログラムが、脆弱(ぜいじゃく)性やライセンス違反の問題を抱えている――。Synopsys(シノプシス)のソフトウェアインティグリティグループ(SIG)は、「2018オープンソースセキュリティ&リスク分析(OSSRA)」レポートについて、その概要を発表した。
オープンソースソフトウェアのライセンス形態は、大きく3つに分類することができるという。「一方的利用ライセンス」「コピーレフトライセンス」そして、大きな問題となる「不明確なライセンス」である。今回の調査では、コードベースの85%にライセンスに抵触するものや、不明のライセンスが存在していた。しかも、コードベースの44%はGPL(GNU一般公有使用承諾)に抵触しているという。
分野別にみると、テレコミュニケーション/ワイヤレス業界では、調査したコード全てがライセンス違反のソフトウェアを包含していることが分かった。このように、オープンソースのライセンス責任がきちんと果たされていないことも、脆弱性の問題を大きくしているとみている。
さらにMackey氏は、「調査したコードベースの78%から、1件以上の脆弱性が検出された。コードベース当たり平均で64個の脆弱性が認められた。その54%以上がハイリスクに分類されている脆弱性」と述べる。しかも、「調査したコードベースの8%にApache Strutsが組み込まれ、このうちの33%は今でもStrutsの脆弱性を抱えていることが分かった。過去に公表された脆弱性が改善されずに積み上げられている。脆弱性を単に公表しただけでは根本的な課題解決にはならない」と強調した。パッチバージョンにより脆弱性のリスクが高まることもありうるという。
Synopsysは、ソフトウェアのクオリティーとセキュリティを向上させるためのソリューションを提供している。具体的には、ソースコードを分析し共通脆弱性を発見するための「静的解析」、オープンソースをスキャンし、その脆弱性を発見する「ソフトウェアコンポジション解析」、実行中のアプリケーションを試験し、脆弱性のあるアプリケーションの挙動を発見する「動的解析」といったツールなどを用意している。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
ソフトウェアでもトレーサビリティの確保目指す
IoT(モノのインターネット)市場の成長に伴い、セキュリティへの懸念はますます高まっている。そうした中、Synopsys(シノプシス)は、ソフトウェアの品質と安全性を高める方法として「ソフトウェア・サインオフ」を提唱している。
シノプシス、性能重視の新ARCプロセッサを発表
シノプシスが、組み込みアプリケーション向けプロセッサの新ファミリー「DesignWare ARC HS4x」「DesignWare ARC HS4xD」を発表した。処理性能を重視したファミリーだが、シノプシスは、プロセッサの製品戦略としては「性能の向上ばかりを重視するわけではなく、組み込み機器に求められている機能をきちんと備えているかの方が重要」だと強調した。
半導体プロセスの微細化は利益につながるのか
今後、半導体プロセスの微細化を進めていく上で、「微細化が本当に利益につながるのか」という疑問が出ているようだ。
中国が次に狙うのはEDA業界か Cadence幹部の見解
AI(人工知能)や半導体などの分野に積極的に投資している中国。Cadence Design Systemsの経営幹部は、中国が次に狙っているのはEDA業界ではないかとの見方を示している。
スマートカーのセキュリティ、米英政府の対策は
さまざまな接続技術が自動車に搭載され始めている一方で、サイバーセキュリティ技術は十分に整っていない。米国と英国の政府は、コネクテッドカーのサイバーセキュリティに対するガイドラインを発表しているが、それらは十分なのだろうか。
IoT機器用MCU、セキュリティと低電力を両立
Silicon Laboratories(シリコン・ラボラトリーズ)は、IoT(モノのインターネット)機器に向けた「EFM32 Tiny Gecko」マイクロコントローラ(MCU)ファミリーとして、新たに「EFM32TG11」を発表した。