ニュースリリース - 2017年11月2日

シノプシスのCoverity Scanレポート2017により、OSSベース開発プロジェクトでセキュリティ対策への取り組みが大幅に増加していることが明らかに

プロジェクト成熟度の重要な指標の見極めや、リスク測定の重要性の明確化が進むなど過去約10年間の進歩を確認

2017年10月31日 カリフォルニア州マウンテンビュー発 - シノプシス（Synopsys, Inc.、Nasdaq上場コード:SNPS）は本日、Open Source Software（OSS）のクオリティとセキュリティに関して過去10年に渡りCoverity Scan（4,600以上の現行のOSSベース開発プロジェクトで使用されているシノプシスの無償・静的解析ソリューション）が収集したデータの解析結果を2017 Coverity^® Scan Reportとして公開した。それによると、セキュアなソフトウェアの開発への取り組みの大幅な活発化、OSSのリスク・マネージメントの重要性が明らかとなっている。また、OSSベース開発におけるクオリティ確保とOSSエコシステム全体の成熟にCoverity Scanが寄与した内容が明らかになっている。Coverity Scan Reportの結果は、下記よりダウンロードできる。
https://www.synopsys.com/ja-jp/software-integrity/resources/reports/open-source-software-scan-report.html

シノプシス　ソフトウェア・インテグリティ・グループ　ジェネラル・マネージャー兼上級副社長　Andreas Kuehlmannは、次のように述べている。「OSSが広く普及し、事実上あらゆるソフトウェアで極めて重要な役割を果たしていることを考えると、そこに潜むリスクを理解し適切に対処することは、もはや必須事項というべきです。Coverity Scan Reportでは、最も成熟し幅広く行われているOSSベース開発プロジェクトの多くで進化が認められています。また、このレポートは、OSSの完成度に依存している広範なソフトウェア業界にとって価値の高い知見を提供しています」

Coverity Scanは、2006年の調査開始以来、実行されているOSSベース開発プロジェクトで110万以上の問題箇所を特定し、その結果60万以上の不具合修正に結実している。2017 Coverity Scan Reportには、C/C++、C#、Java、JavaScript、Ruby、PHP、Pythonをはじめとする様々な言語で記述された約7億6千万コードに上るOSSの解析結果の詳細が記されている。

注目されるポイントは以下のような項目である。

• セキュアなソフトウェアの開発への取り組みが大幅に活発化
  2016年1月以来、Coverity Scan 上で4,117件のプロジェクトがビルドを実行して解析を行ってきた。うち約50%（2,049件）ではTravis CIを用いてビルド/テストを実行しており、継続的インテグレーション/継続的デプロイ（CI/CD）開発手法の採用が進んでいることがわかる。2,509件のプロジェクトでは優先順位をつけて対応（トリアージ方式）しているが、これにはコードベースに精通した開発者が必要となる。また、1,120件のプロジェクトでは、解析結果の品質を向上させる手段としてモデリング機能を活用している。
  
  
• OSSプロジェクトの成熟度が向上
  CI/CD手法や対応可能な不具合の修正が進んでいるという事実は、OSSエコシステム全体にとって静的解析手法が有効な改善手段であることを示している。また、開発/コミュニティに関する評価指標といったその他の成熟度測定手法も、OSSの使用で発生しうるリスクの分析には必要となる。
  
  
• 商用とオープンソースの区別は曖昧に
  Coverityを商用ソフトウェア開発に利用している大手ユーザー数社によると、顧客向けに出荷されたソフトウェアには、オープンソース・コードが最大で90%含まれている可能性がある。また現在では、完全にOSS を基盤とする企業も存在しており、OSSの利用が今では標準となっていると言える。

Coverity Scanは、重大な品質上の不具合とセキュリティ脆弱性をソフトウェア開発工程で特定することにより、開発リスクとプロジェクト全体としてのコストを削減する。シノプシスは、オープンソース・コミュニティにCoverity Scanプロジェクトと静的アプリケーション・セキュリティ・テスト（SAST）を無償サービスとして提供しており、これによりソフトウェア開発者がソフトウェア・ライフサイクルにクオリティとセキュリティ対策を組み込んでいけるよう支援している。Coverity Scanの詳細はhttps://scan.coverity.com/より入手可能。

2017 Coverity Scan Reportの結果についてのライブ・ディスカッションの開催が11月8日の正午12時（米国太平洋時間）に予定されている。参加登録はこちら。
https://community.synopsys.com/s/article/Live-Q-A-with-2017-Coverity-Scan-Report-Author-Mel-Llaguno

シノプシス・ソフトウェア・インテグリティ・プラットフォームについて
シノプシスは、ソフトウェア開発ライフサイクルとサプライチェーンにインテグリティ（セキュリティとクオリティ）を確立するための業界で最も包括的なソリューションを提供している。このソフトウェア・インテグリティ・プラットフォームは、シノプシスが業界をリードするテスト・テクノロジ、解析自動化テクノロジ、そして強靭なツール群やサービスを提供するエキスパートの所産である。これによりソフトウェア開発企業/団体は、開発工程の早期段階でソフトウェアの欠陥や脆弱性を検知/修正し、開発リスクを最小化、開発効率を最大化するための独自の対策を構築することが可能となる。シノプシスは、アプリケーション・セキュリティ・テスト（AST）のリーディング・カンパニーとして高い評価を受けており、IoT、DevOps、CI/CD、クラウドといった新しいテクノロジやトレンドでベスト・プラクティスの実践を可能にする独自のポジションを確立している。
詳細情報は、https://www.synopsys.com/software-integrity.htmlより入手可能。

シノプシスについて
Synopsys, Inc.（Nasdaq上場コード:SNPS）は、我々が日々使用しているエレクトロニクス機器やソフトウェア製品を開発する先進企業のパートナーとして、半導体設計からソフトウェア開発に至る領域（Silicon to Software）をカバーするソリューションを提供している。電子設計自動化（EDA）ソリューションならびに半導体設計資産（IP）のグローバル・リーディング・カンパニーとして長年にわたる実績を持ち、ソフトウェア品質/セキュリティ・ソリューションの分野でも業界をリードしており、世界第15位のソフトウェア・カンパニーとなっている。シノプシスは、最先端の半導体を開発しているSoC（system-on-chip）設計者、最高レベルの品質とセキュリティが要求されるアプリケーション・ソフトウェアの開発者に、高品質で信頼性の高い革新的製品の開発に欠かせないソリューションを提供している。
詳細情報は、https://www.synopsys.com/ja-jpより入手可能。