今年もOSSRAレポートの季節がやってきました。今回で第8版となる、シノプシス “Open Source Security and Risk Analysis” (OSSRA) レポート が公開されました。
今年のレポートも、シノプシスの Cybersecurity Research Center (CyRC) が発行していますが、M&Aに際して行われた、Black Duck® 監査サービスチームによる1700以上の商用コードベースの監査結果を調査したものです。シノプシスは、セキュリティ、法務、リスク対策や開発組織がオープンソースのセキュリティやライセンスリスクの状況についての理解を手助けするため、OSSRAでの発見を毎年共有してきました。オープンソースの利用におけるトレンドや、業界での発見は、開発者にとって、自身も相互に繋がっているソフトウェアのエコシステムの一部であることを理解するのを手助けするための調査なのです。
調査対象のすべての業界で、オープンソースの割合が高い結果に
2023 OSSRA レポートを代表する17業種のうちの以下の業種 — 航空宇宙、航空機、自動車、運輸、 物流、エドテック、IoT — ではオープンソースが監査したコードベースの100%で利用されていました。残りの業種においても、コードベースの92%でした。
経済的な不確実な状況においても、監査件数は堅調
- 2022年におけるシノプシスによる監査は1,703のコードベースで行われ、96% がオープンソースを含んでいた
シノプシスの監査サービスチームは、千件以上のコードベースの監査を毎年顧客向けに実施しています。主にM&A手続きにおいてソフトウェアリスクの範囲を特定することを目的にしています。2022年は経済的に不透明な状況であったため、テクノロジー分野でのM&Aが低調であったにも関わらず、監査件数は引き続き強いままでした。
組織は高リスクの脆弱性を修正していない
- 2019年以降、OSSRAの全17業種では高リスクの脆弱性の増加は少なくとも42%となり、小売とeコマースでは557%の急激な増加が見られ、コンピュータのハードウェアと半導体では317%の増加であった
今年新たな点として、5年間の振り返りでは、オープンソースとセキュリティのトレンドの幅広い視点を提供しています。これは、業種毎に、監査されたコードベースのオープンソースの全割合は、さまざまであるものの、全般的に増加していることがわかります。脆弱性についても同様で、特定の業種では脆弱性の急増の懸念と脆弱性の緩和対策が欠けていることを示しています。
パッチ管理は引き続き課題
- セキュリティおよび運用上のリスク評価を含む監査済みの1,481のコードベースのうち84%に、少なくとも 1 つの脆弱性が含まれており、48%には少なくとも一つの高リスクの脆弱性が含まれていた。昨年比でわずか2%しか改善せず
- 運用リスク/メンテナンスの観点から、1,703のコードベースの89%に、 4年以上前のオープンソースが含まれていた(2022年のレポートから5%増加)。また、使用されているコンポーネントの91%は最新バージョンではなかった
ライセンスの競合、Log4jに耐える
- 今年、監査したコードベースの54%はライセンスの競合が含まれており、昨年比で2%の増加
高リスクの脆弱性が減少したことは心強いものの、監査対象のコードベースの半分近くに高リスクの脆弱性が含まれており、半分以上にライセンスの競合が含まれていたという事実は変わりません。さらに厄介なのは、リスク評価を含む1,703のコードベースの 91% にオープンソース・コンポーネントの古いバージョンが含まれていたことです。 つまり、アップデートまたはパッチが利用可能だったにもかかわらず、適用されていませんでした。
ソフトウェアを最新の状態に保たないことには正当な理由がありますが、91%の大部分は、オープンソース・コンポーネントの新しいバージョンが利用可能であることをDevSecOpsチームが認識していないことが原因である可能性があります。組織がコードで使用されているオープンソースの正確かつ最新のインベントリを保持しておらず、リスクの高いエクスプロイトに対して脆弱になるまで対処する必要があることがわからず、問題が発生してから更新するために慌てて作業をすることになるのです。
これはまさにLog4Jで発生したことであり、1年以上経った今でも続いています。あれほどメディアの注目を集め、組織がコードベースへの存在を確認する(そして修正する)ために多くの手段を講じたにもかかわらず、Log4Jはいまだに残されたままです。Log4Jの脆弱なバージョンは、コードベース全体の5%と、監査対象のJavaコードベースの11%で特定されました。
賢いオープンソース管理に向けて
現在、ソフトウェアセキュリティにリモートで関与している人は、ソフトウェア・サプライチェーンに関心を持っている可能性があります。 サプライチェーンへの攻撃が絶え間なく続く現在の状況では、このレポートで得られた数字は非常に緊急な自体であることを示しています。しかし、どこから手をつけたらよいか悩んでいる組織では、アプリケーション内のオープンソースやサードパーティ・コードの管理を最初のステップとして検討する必要があるでしょう。
コードを管理するには、依存関係を完全に可視化する必要があります。2023年のレポートでは、商用コードの96%にオープン ソースが含まれているとしており、アプリケーションで使用されているコンポーネントを可視化することは、DevSecOpsプログラムの基本要件となるはずです。ソフトウェア部品表(SBOM)は、ビジネスリスクと包括的なセキュリティに必要な「気づき」を提供します。つまり、安全であることを「信頼」するのではなく、それを「検証」することができるということです。
Continue Reading
?ts=1712896279486&$responsive$)
2024 OSSRA レポート:オープンソース・コンポーネントの古いコードのリスク
Apr 17, 2024 / 1 min read
