セキュアSDLCを拡張してオープンソース・セキュリティの問題を修正

課題：見つけらない脆弱性にはパッチを適用できない

ソフトウェア構築事業に携わる組織の例にもれず、JDA社の100以上のアプリケーション製品群にもカスタム構築されたコードベースと商用およびオープンソース・コンポーネントが混在しています。ForresterやGartnerなどのアナリストは、IT組織の90%以上がミッション・クリティカルな開発でオープンソース・ソフトウェアを使用しており、オープンソース・コンポーネントが最大90%を占めるアプリケーションも珍しくないと指摘しています。

オープンソースの脆弱性は、独自開発のソフトウェアに比べると少なめですが、2018年だけでも7,000件以上発見されました。また、過去20年間で50,000件以上の脆弱性が新たに発生しました。2018年にシノプシスのBlack Duck監査サービス・チームがレビューしたコードベースのうち60%に1つ以上のオープンソース脆弱性が存在し、40%以上に高リスクの脆弱性があり、68%にライセンスが競合するコンポーネントが含まれていました。

ライセンス・コンプライアンスの観点から見ると、広く利用されているオープンソース・ライセンスであろうと、1回限りの亜種であろうと、組織が特定のオープンソース・コンポーネントを使用する権利、義務、制限を認識していなければ、ライセンス義務を遵守しているかどうかを確認できません。遵守していない場合、独自開発のコードに対する権利を失ったり、知的財産の所有権が疑問視される可能性さえあります。

セキュリティの観点からすると、独自開発のソフトウェアやオープンソース・ソフトウェアを含め、すべてのソフトウェアはセキュリティの脆弱性につながる弱点を持っています。Apache StrutsやOpenSSLの不名誉な脆弱性の例を見てもわかるように、オープンソースにわずかでも脆弱性があれば、広く悪用される可能性があります。このようなエクスプロイトが発生すると、2017年のEquifaxのデータ・セキュリティ侵害のように、オープンソースのセキュリティ管理の必要性がトップニュースになります。

米国上院常設調査小委員会の報告書は、Equifaxのソフトウェア・インベントリの不備が大規模なセキュリティ侵害の主要因であると指摘しています。「EquifaxはIT資産の包括的なインベントリを作成しなかったため、所有するIT資産を完全に把握していなかった」と報告書は指摘しています。「これにより、Equifaxがネットワーク上に脆弱性が存在するかどうかを確認することは、不可能ではないにしても困難になった。見つからない脆弱性にパッチを適用することはできない。」

多くの企業では、開発者によるオープンソースの使用を正式に管理しておらず、オープンソース・コンポーネント、ライセンス、バージョン、パッチ適用状況の正確な最新のインベントリ（部品表またはBOMとも呼ばれる）を作成できる企業はごくわずかです。結果として、その組織と顧客にリスクをもたらします。「Black Duckを使用する前のオープンソース管理では、主にスプレッドシートを使用した開発者任せの管理体制で、基本ガイダンスは感染性（バイラル）ライセンスではなくパーミッシブ・ライセンスの使用を前提としていました」とJDA Softwareの主任アーキテクト、John Vrankovich氏は言います。

「当社には100以上の製品があり、各製品が数百から数千種類のオープンソース・コンポーネントを使用しています。10年前、私たちにはBOMのオープンソース・セキュリティの脆弱性を特定し、理解するという考え方はほとんどありませんでした。Black Duckに移行する目的は、オープンソースのセキュリティの問題に対する知識を得ることでした。全体的なソフトウェア・セキュリティ対策の一環としてオープンソースおよび商用コンポーネントを確実に追跡・管理するためのソリューションが必要だと認識したのです。