ニュースリリース - 2022年5月19日

シノプシスによる調査の結果、ソフトウェア・サプライチェーンで使用されている オープンソース・コンポーネントに潜むリスクの管理にあたっての重要課題が明らかに

2,400を超す商用ならびに内製のコードベースを調査した結果、オープンソースに潜むライセンス上の問題や脆弱性のリスクに減少がみられるものの、企業/団体の88%では使用中のオープンソースに対して継続的なアップデートがなされていないことが判明

 

2022年5月19日 東京発 - シノプシス(Synopsys, Inc.、Nasdaq上場コード:SNPS)は本日、2022 オープンソース・セキュリティ&リスク分析(OSSRA:Open Source Security and Risk Analysis)レポートを公表した。この報告書は、シノプシスのBlack Duck® 監査サービス部門が、企業/団体が買収などで入手した2,400を超す商用ならびに内製コードベースを調査した結果をシノプシス サイバーセキュリティ・リサーチ・センター (CyRC)が分析し所見をまとめたものである。報告書では商用もしくは内製アプリケーションへのオープンソース・ソフトウェア利用にあたってのトレンドが明らかとなっており、開発者が相互に連携したソフトウェア・エコシステムの現状を、よりよく理解するための指針となる洞察も記載されている。また、脆弱性、旧バージョンのコンポーネントや放置状態のコンポーネント、ライセンス・コンプライアンス違反など、適切な管理がなされていないオープンソースによって引き起こされるリスクについても詳しく解説されている。

 

2022年OSSRAレポートでは、オープンソースは全ての業界にまたがるあらゆるソフトウェアで使用されており、今日提供されている全てのアプリケーションの根幹をなすものとなっているという事実が明確となった。

  • 脆弱性が指摘されているLog4jも含め、旧式のオープンソースが当たり前のように使用され続けている

運用上のリスクないしメンテナンスの観点から見ると、2,097のコードベースの85%には、過去4年以上開発活動実績のなかったオープンソースが含まれていた。また88%は、最新バージョンではないオープンソース・コンポーネントを使用しており、15%からは脆弱性を残したままのバージョンのLog4jが検出された。

  • 調査対象のコードベース全体としては、オープンソースの脆弱性は減少している

2,097のコードベースに対してセキュリティ/リスク診断を行った結果、高リスクな脆弱性を抱えたオープンソースが組み込まれているコードベースの数は大幅に減少している。2021年の調査ではコードベースの60%から1つ以上の高リスクな脆弱性が検出されたが、今年は49%だった。一方、81%のコードベースからは1つ以上の既知のオープンソース脆弱性が検出されており、2021年の調査からの減少幅は僅か3%に過ぎない。

  • ライセンス条件の競合も全体的に減少している

コードベースの半分以上(53%)にはライセンス条件の競合が確認されたが、2020年調査結果の65%からは大きく減少している。全体的にライセンス問題は、2020年から2021年にかけての調査でも減少傾向にある。

  • コードベースの30%には、ライセンスがないまたはカスタム・ライセンスを使用したオープンソースが含まれていた

ソフトウェア・ライセンスは、そのソフトウェアの使用権を規定するものであり、ライセンスのないオープンソースの使用は、法的リスクを抱え込むジレンマとなる。またオープンソースのカスタム・ライセンスは、ライセンシーにとって好ましくない条件が付加されたものである可能性があるため、知的財産権(IP)の侵害あるいはその他の予測される事態について法的側面からの評価が必要になるケースが多い。

 

シノプシス Cybersecurity Research Center プリンシパル・セキュリティ・ストラテジスト Tim Mackeyは、次のように述べている。「ソフトウェア・コンポーネント解析(SCA)ツールのユーザーは、オープンソースのライセンスの問題や高リスクな脆弱性の削減に注力してこられました。その結果がそれらの減少という今年の調査結果に表れています。一方で依然として、調査対象のコードベースの半数以上からライセンスの問題点が検出され、約半数に高リスクな脆弱性が潜んでいたというのも事実です。さらに問題なのは、リスク診断を行ったコードベースの88%は、アップデートやパッチが利用可能になっているにも関わらず、それらが施されていない旧バージョンのオープンソース・コンポーネントを使用しているという点です」

 

またこうも述べている。「適切なアップデートが行われていないのには、止むを得ない背景もあります。しかし、コードベース内のオープンソース資産が適切なものではない、あるいはアップデートがなされていない状況が継続すれば、それらのコンポーネントは、高リスクなセキュリティ上の弱点として認識されるまで忘れ去られることになります。そうした攻撃が起こってしまうと、それらが使われている箇所を直ちに特定してアップデートを施さねばならなくなるのです。Log4jで発生した事態がまさにそれです。このことは、ソフトウェア・サプライチェーンとソフトウェア部品表(SBOM)の管理が如何にホットな課題かということを物語っています」

 

オープンソース・ソフトウェアに潜むリスク、ならびにその対処についての詳細は、下記より入手可能。

  • 2022 オープンソース・セキュリティ&リスク分析(OSSRA)レポートのダウンロード

https://www.synopsys.com/ja-jp/software-integrity/resources/analyst-reports/open-source-security-risk-analysis.html?cmp=pr-sig&utm_medium=referral

  • ブログ

https://www.synopsys.com/blogs/software-security/ja-jp/open-source-trends-ossra-report-2/?cmp=pr-sig&utm_medium=referral

  • ウェビナー参加登録

https://www.brighttalk.com/webcast/18289/541533?cmp=pr-sig&utm_medium=referral

 

シノプシス ソフトウェア・インテグリティ・グループについて

シノプシスのソフトウェア・インテグリティ・グループは、開発チームが安全で高品質のソフトウェアを構築し、リスクを最小限に抑えながら開発スピードと生産性を最大化することを支援している。アプリケーション・セキュリティのリーディング・カンパニーとして認められているシノプシスは、静的解析、ソフトウェア・コンポジション解析、および動的解析ソリューションを提供し、チームが独自開発しているコード、オープンソース・コンポーネント、およびアプリケーションの動作の中に潜む脆弱性や不具合をすばやく特定/修正できるようにする。業界をリードするツール、サービス、ならびに専門技術の組み合わせにより、企業/団体がDevSecOpsの中で、またソフトウェア開発ライフサイクルを通じて、セキュリティと品質を最適化できるよう支援している企業はシノプシスのみである。

詳細な情報は、https://www.synopsys.com/ja-jp/software-integrity.html より入手可能。

 

シノプシスについて

Synopsys, Inc.(Nasdaq上場コード:SNPS)は、我々が日々使用しているエレクトロニクス機器やソフトウェア製品を開発する先進企業のパートナーとして、半導体設計からソフトウェア開発に至る領域(Silicon to Software)をカバーするソリューションを提供している。電子設計自動化(EDA)ソリューションならびに半導体設計資産(IP)のグローバル・リーディング・カンパニーとして長年にわたる実績を持ち、業界で最も広範囲をカバーしたアプリケーション・セキュリティ・テスティング・ソリューションならびにサービスを提供しているS&P 500カンパニーである。シノプシスは、最先端の半導体を開発しているSoC(system-on-chip)設計者、よりセキュアでハイ・クオリティなコードを開発しているソフトウェア開発者に、革新的製品の開発に欠かせないソリューションを提供している。

詳細情報は、https://www.synopsys.com/ja-jp より入手可能。

# # #

 

Synopsysは、Synopsys, Inc.の登録商標または商標です。

その他の商標や登録商標は、それぞれの所有者の知的財産です。

 

<お問い合わせ先>

 

日本シノプシス合同会社  ソフトウェア・インテグリティ・グループPR事務局

(井之上パブリックリレーションズ内)

担当:塚田・渡辺

Email:synopsys@inoue-pr.com