2019 OSSRAレポートで明らかになったオープンソースのトレンド
1,200を超えるコードベースを分析した結果、開発、セキュリティ、法務の各チームに影響を与えるオープンソースの使用、セキュリティ、ライセンス・コンプライアンスに関するトレンドが判明しました。
こんにちのソフトウェア開発に、オープンソース・コンポーネントの使用は避けられません。
最新の試算によると、非常に小さなアプリケーションを除けば、アプリケーション全体の99%にオープンソースのコンポーネントが含まれています。あなたのアプリケーションがその他の1%に含まれる確率はどれくらいでしょうか? あなたが個人資産ランキングでトップ1%に含まれるよりも小さな確率です。
あなたはたぶんオープンソースを使用していると思われます。さて、Synopsys Cybersecurity Research Center (CyRC)により今週公開された年次レポート「2019年オープンソースのセキュリティおよびリスク分析 (OSSRA)レポート」の調査では、オープンソースのトレンドについて検討しています。CyRCは、Synopsysの専門知識、技術、イニシアチブ、リソースを、より広いセキュリティ、開発者、DevSecOpsのコミュニティの利益に役立てようという活動です。
2019年版OSSRAレポートによって明らかになったオープンソースのトレンドをいくつか紹介します。
オープンソースは以前にも増して遍在している
17の産業を扱った今年のレポートでは、監査の対象となった平均的なコードベースに298のオープンソース・コンポーネントが含まれていました。この値は2017年より16%アップしています。レポートは、オープンソースの普及が進んでいる様子をさらに深く掘り下げています。
リスクの主なカテゴリーは2つです
OSSRAレポートに記載されたとおり、オープンソースの使用が遍在化した現在でも多くのチームは依然としてこの潜在的なマイナス面に対応するための適切な対策を取っていません。オープンソースの利用がどのようにして、より多くのリスクとコンプライアンスの問題を招くのかについてこれから説明します。
セキュリティ、脆弱性、パッチの影響は過小評価されている
オープンソース・ソフトウェアそれ自体は、プロプライエタリや商用オフザシェルフ(COTS)パッケージよりもリスクが大きいということはありません。本当のリスクは、組織がそれについてトラッキングと管理をする(またはしない)方法にあります。これには、セキュリティ・パッチが配布される方法や、オープンソースの脆弱性がどのようにモニタリングされて修正されるか、そして、どの程度の信頼性がある方法で、組織は使用中のオープンソース・コンポーネントをトラッキングしているかが含まれています。
Equifaxはおそらくこの問題の最も明白で純然たる例でしょう。2017年に起きたこの大手消費者信用情報会社の破滅的な情報漏洩は、オープンソースのwebアプリケーション・フレームワークであるApache Strutsの脆弱性に対するパッチ適用を怠った結果です。彼らはセキュリティ警告に気付いたのでしょうか? 気付いていましたが、アプリケーションにパッチを適用していませんでした。自分たちがApache Strutsを使用しているという事実を把握していなかったからです。
みなさんのコードの中にはたぶんパッチが適用されていないオープンソースの脆弱性が含まれています。
しかしそれはあなただけではありません。2018年に監査を受けたアプリケーションのうち脆弱性があるのは60%でした。これは2017年の78%からの顕著な改善です。その種のリスクを回避する方法は、使用中のオープンソース・コンポーネントをトラッキングして管理する自動ソリューションを使用することです。それは(真実ではありますが)決まり文句のように響くかもしれません。しかし、使用していることを知らなければパッチを適用することはできません。
かなりの数のオープンソースが違法に使用されている
レポートに示されたように、人気上位20のライセンスが現在使用されているオープンソースの約98%を占めます。ではその他の2,480以上のライセンスはどうなっているのでしょう。さらに、オープンソース・コンポーネントに明確なライセンス条件がなかったとしても、依然として訴えられる危険を免れる術はありません。Black Duck Auditsは、75%の企業が未知のライセンスを含むコードベースを使用していることを発見しました。一般的にライセンスがないということは、誰も制作者の明示的な許可なしにソフトウェアの使用、変更、共有ができないことを意味します。これは、創造的な作品(コードを含む)ははじめから独占的な著作権の下にあるためです。
リスクを最小化するには現在の行動を変えることが必要
オープンソースのトレンドを単に知るだけでは十分でないことは明らかです。他の組織がどのようにしているのかを知ることは正しい方向への第一歩です。しかし、オープンソースの利点を理解してマイナス面を避ける最高の方法は、セキュリティとライセンスのリスクを軽減できるようにオープンソース・ソフトウェアのすべてをトラッキングすることです。
