ソフトウェア・インテグリティ

 

2021年のOSSRAレポートから読み解く、商用ソフトウェアにおけるオープンソースの状況

新しいOSSRAレポートによると、オープンソースの脆弱性は増加しています。 オープンソースのセキュリティ、コンプライアンス、およびコード品質のリスクに関する最新情報を確認してみましょう。

「2021 オープンソース・セキュリティ& リスク分析レポート」(OSSRAレポート) は、BlackDuck®監査サービスチームによって実施された1,500を超える商用コードベースの監査の結果を元に、Synopsys Cybersecurity Research Center (CyRC)が作成したレポートです。これは、オープンソースのセキュリティとライセンス・コンプライアンスの状況に関する年次報告書の第6版で、以下を含みます。

  • 商用アプリケーション内でのオープンソース使用の傾向
  • 商用およびオープンソースの開発者が、互いに関連のあるソフトウェア・エコシステムをよりよく理解するのに役立つ知見を提供
  • 脆弱性、古いコンポーネントや放棄されたコンポーネント、ライセンス・コンプライアンスの問題など、管理されていないオープンソースによって引き起こされる広範なリスクについての説明

2021年のOSSRAレポートでは、オープンソース・ソフトウェアがすべての業界のアプリケーションの主要な基盤を提供しているという事実を確認できます。また、これらの業界の多くがオープンソースのリスクとライセンス・コンプライアンスの管理に苦労していることも示しています。 例えば:

リードジェネレーション、CRM、ソーシャルメディアなどのマーケティングテック業界で監査を受けたすべての企業はコードベースにオープンソースを抱えていました。 また、これらのコードベースの95%には、オープンソースの脆弱性も含まれていました。
※これらの割合は、この数年大きな変化はありません。詳しくはこちらのウェビナーでご確認いただけます。

  • 医療/ヘルステック/生命科学業界のコードベースの98%にはオープンソースが含まれ、それらのコードベースの67%に脆弱性が含まれていた。
  • 金融サービス/フィンテック業界のコードベースの97%にはオープンソースが含まれ、それらのコードベースの60%以上に脆弱性が含まれていた。
  • リテール/eコマース業界のコードベースの92%にはオープンソースが含まれ、それらのコードベースの71%に脆弱性が含まれていた。

その他の注目すべき事柄

すべての業界で広く使用されている「放棄された」オープンソース・コンポーネント
驚くべきことに、91%のコードベースには過去2年間に開発活動がなかったオープンソースの依存関係が含まれていました。つまり、コードの改善やセキュリティの修正が行われていないということです。商用ソフトウェアのように、更新があればユーザーに通知があるわけでは無いため、オープンソースは開発者コミュニティの関与に強く依存しているのです。どのオープンソース・プロジェクトも、コミュニティの関与がなくなることで、脆弱性への対応が大きな問題になる可能性があります。

商用ソフトウェアでは「枯れた」オープンソース・コンポーネントを使うのが当たり前
コードベースの85%には、4年以上前の古いオープンソース依存ファイルが含まれていました。 放棄されたプロジェクトとは異なり、これらの古いオープンソース・コンポーネントには、更新やセキュリティパッチを公開するアクティブな開発者コミュニティがあります。しかし、これらのパッチは、当該オープンソース・コンポーネントを使用している商用アプリケーションの開発者や利用者によって適用されていません。

オープンソース脆弱性の蔓延は悪化しつつある
2020年には、脆弱なオープンソース・コンポーネントを含むコードベースの割合が84%に上昇し、2019年から9%増加しました。同様に、リスクの高い脆弱性を含むコードベースの割合は49%から60%に急上昇しました。2019年にコードベースで見つかったオープンソースの脆弱性トップ10のいくつかは、2020年の監査で再度確認され、すべて大幅に増加しました。

監査したコードベースの90%以上に、ライセンスの競合や改変、ライセンスの不明なオープンソースコンポーネントが含まれていた
2020年に監査したコードベースの65%には、オープンソース・ソフトウェア・ライセンスの競合が含まれており、ほとんどはGNU General Public Licenseが関係しています。コードベースの26%は、ライセンスが無いか、カスタマイズされたライセンスでオープンソースを使用していました。これら3つの問題はすべて、特に合併や買収の取引において、潜在的な知的財産権の侵害やその他の法的懸念について評価する必要があります。

オープンソース・ソフトウェアに関連する潜在的なリスクと対処方法については、こちらのウェビナーにご登録ください。

 

この著者によるその他の情報