ニュースリリース - 2020年5月28日

シノプシスによる調査の結果、商用アプリケーションの91%が 時代遅れもしくは放置状態のオープンソース・コンポーネントを使用していることが明らかに

1,250を超す商用のコードベースを調査した結果、オープンソース・セキュリティやライセンス上の問題、運用リスクが広範囲にわたって蔓延していると判明

2020年5月28日 東京発 - シノプシス（Synopsys, Inc.、Nasdaq上場コード:SNPS）は本日、2020年オープンソース・セキュリティ&リスク分析（OSSRA）レポートを公表した。この報告書は、シノプシスのBlack Duck 監査サービス部門が1,250を超す商用コードベースを調査した結果をシノプシス Cybersecurity Research Center （CyRC）が分析し所見をまとめたものである。報告書では、商用アプリケーションへのオープンソース・ソフトウェア利用にあたってのトレンドやパターンが明らかとなっており、また使用するオープンソースのリスクをセキュリティ/ライセンス・コンプライアンス/運用といった側面から、企業/団体がより賢明に管理する際の指針となる洞察や推奨も記載されている。

2020年OSSRAレポートでは、今日のソフトウェア開発エコシステムにおいてオープンソースが果たしている役割の重大性が再確認されている。過去一年間で調査対象となったコードベースの事実上すべて（99%）が、1つ以上のオープンソース・コンポーネントを使用しており、コード全体の70%がオープンソースで構築されていることが明らかとなった。注目すべきは、時代遅れもしくは放置状態のオープンソース・コンポーネントが広く使用され続けているという実態である。コードベースの91%には、開発終了から4年以上が経過した時代遅れのオープンソース・コンポーネントや、過去2年間一切開発活動実績のなかったコンポーネントが組み込まれている。

今年の調査で判明した中で最も懸念される傾向は、メンテナンスが施されていないオープンソースによって引き起こされるセキュリティ・リスクの高まりである。調査したコードベースの実に75%には、既知の脆弱性への対策が施されていないオープンソース・コンポーネントが使用されていることが判明している。昨年調査の60%よりも増加している。同様に、12ヶ月前は40％だったが、今回の調査ではコードベースのほぼ半分（49%）から高リスクの脆弱性が検出された。

シノプシス　Cybersecurity Research Center　プリンシパル・セキュリティ・ストラテジスト　Tim Mackeyは、次のように述べている。「近年のソフトウェアの開発と適用において、オープンソース・コンポーネントが極めて重要な役割を果たしているというのは逃れようのない事実です。その一方で、オープンソースがアプリケーション開発者のセキュリティやライセンス・コンプライアンスのリスク対策にいかに大きな影響を及ぼすか、といった点は見過ごされがちです。今年のOSSRAレポートでは、オープンソースに潜むリスクを企業/団体が効率的に監視し、対処するのに苦闘し続けている実態が浮き彫りになっています。オープンソースの使用は継続しつつ、サードパーティが提供するソフトウェア・コンポーネントのリストを正確に管理し、それをアップデートし続けることが、さまざまなレベルでアプリケーション・リスクに対処していくための重要なスターティング・ポイントなのです」

2020年OSSRAレポートで明らかになったオープンソース・リスク・トレンドの中で注目すべきいくつかの点は、下記の通りである。

● オープンソースの活用増加は継続

コードベースの99%には何らかの形でオープンソース・コードが使用されており、1つのコードベースあたりで平均445個のオープンソースが組み込まれている。2018年の298個から大幅に増加している。調査対象となったコードの70%はオープンソースと認定され、2018年調査の60%から増えている。2015年の36%からは約倍増している。

● 時代遅れもしくは放置状態のオープンソース・コンポーネントが蔓延

コードベースの91%には、開発から4年以上が経過した時代遅れのオープンソース・コンポーネントや、過去2年間開発活動実績がなかったコンポーネントが組み込まれている。時代遅れのオープンソース・コンポーネントを使用するリスクは、セキュリティ脆弱性が内在する可能性を高めるだけではない。そうしたコンポーネントをアップデートすることによって、不要な機能の搭載や、ソフトウェア互換性の問題を引き起こすことになりかねない。

● 脆弱性が内在するオープンソースの使用率が再び上昇

脆弱性が潜んでいるオープンソース・コンポーネントを使用しているコードベースは、2017年から2018年にかけて78%から60%に低下していたが、2019年には75%にまで増加している。同様に、高リスクな脆弱性に晒されているコードベースは、2018年の40%から2019年には49%へと急増している。幸いにも、悪名高いHeartbleedバグや2017年にEquifax社の情報流出事件を引き起こしたApache Strutsの脆弱性の被害を受けたコードベースは、2019年時点では報告されていない。

● 知的財産を危険に晒すオープンソース・ライセンス違反の可能性が存続

“自由”に使える評判の高いオープンソース・ソフトウェアだからといって、ライセンスによって管理されているソフトウェアと何ら変わりがあるわけではない。コードベースの67%は、何らかの形でオープンソース・ライセンス条件の競合を起こしており、33%にはライセンス関係が特定できないオープンソース・コンポーネントが使用されていた。こうしたライセンス条件の競合の状況は、業界によって大きくばらつきがある。最も割合が高いのは「インターネット/モバイル・アプリ」の93%で、最も低いのは「仮想現実、ゲーム、エンターテイメント、メディア業界」の59%となっている。

OSSRAレポート 2020の詳細は、下記より入手可能。

https://www.synopsys.com/ja-jp/software-integrity/resources/reports/2020-open-source-security-risk-analysis.html?cmp=sig-pr

Webセミナー「商用ソフトウェア資産に含まれるOSSとそのリスクの現状 - 2020年版レポートに基づく分析と提言」へは下記より参加可能

https://www.brighttalk.com/webcast/13983/413386?cmp=sig-pr

本レポートに関するブログ記事はこちら
「2020 OSSRAレポートから得られた主な事柄」
https://www.synopsys.com/blogs/software-security/ja-jp/2020-ossra-findings-infographic/?cmp=sig-pr

シノプシス・ソフトウェア・インテグリティ・プラットフォームについて

シノプシスのソフトウェア インテグリティ グループは、企業が安全で高品質のソフトウェアを構築し、リスクを最小限に抑えながらスピードと生産性の最大化に貢献します。シノプシスは、アプリケーション・セキュリティのリーダーであり、静的解析、ソフトウェア・コンポジション解析、動的解析ソリューションを提供しており、独自のコード、オープンソース・コンポーネント、およびアプリケーションの動作における脆弱性や不具合を迅速に見つけて修正します。業界をリードするツールならびにサービス、専門技術の組み合わせにより、ソフトウェア開発企業/団体がDevSecOps（開発とセキュリティ確保と運用の連携）プロセスやソフトウェア開発ライフサイクルを通じて最大限のセキュリティとクオリティを達成できるよう支援している企業はシノプシスのみである。

詳細な情報は、https://www.synopsys.com/ja-jp/software-integrity.htmlより入手可能。

シノプシスについて

Synopsys, Inc.（Nasdaq上場コード:SNPS）は、我々が日々使用しているエレクトロニクス機器やソフトウェア製品を開発する先進企業のパートナーとして、半導体設計からソフトウェア開発に至る領域（Silicon to Software）をカバーするソリューションを提供している。電子設計自動化（EDA）ソリューションならびに半導体設計資産（IP）のグローバル・リーディング・カンパニーとして長年にわたる実績を持ち、ソフトウェア品質/セキュリティ・ソリューションの分野でも業界をリードしており、世界第15位のソフトウェア・カンパニーとなっている。シノプシスは、最先端の半導体を開発しているSoC（system-on-chip）設計者、最高レベルの品質とセキュリティが要求されるアプリケーション・ソフトウェアの開発者に、高品質で信頼性の高い革新的製品の開発に欠かせないソリューションを提供している。

詳細な情報は、http://www.synopsys.com/japanより入手可能。