[解析レポート] 2022年オープンソース・セキュリティ&分析レポート | シノプシス

申し訳ありませんが、この言語ではまだご利用いただけません

2022年

キュティ

2022年オープンソース・セキュリティ&リスク分析レポート

2022年の「オープンソース・セキュリティ&リスク分析」(OSSRA)レポート第7版では、17業種の2,400以上のコードベースに脆弱性やライセンスの競合が存在することが確認されました。レポートは、セキュリティ、法務、リスク対策、開発部門のチーム向けに、オープンソースの開発・使用に伴うセキュリティとリスクの状況に対する理解を深めるための推奨事項を提示しています。

オープンソースは生き残る

オープンソースは今年も引き続き、大多数の商用コードベースの基盤として力を発揮しています。実際に、最近の開発環境は複雑に絡み合っており、コードの所有者でさえ所有しているソフトウェアに含まれているオープンソース・コンポーネントの存在に気付いていません。 

0 オープンソース を含むコードベ ースの割合

78% 全コードベースに 占めるオープンソ ース·コードの割合

脆弱性は改善傾向

  • 1 つ以上の脆弱性を含むコードベースの割合
  • 高リスク脆弱性を含むコードベースの割合

オープンソースの利用は相変わらず定着していますが、オープンソースの脆弱性には改善が見られます。今年のレポートによると、脆弱性を含むコードベースの全体的な割合は依然として高く、厄介な問題であることに変わりはありませんが、前年との比較では3%減少しています。リスク低減に向けた進展は遅いものの、この傾向は正しい方向に向かっていることを示しています。

オープンソースの脆弱性がわずかな減少しか見られないのと対照的に、高リスクの脆弱性は大幅に減少しています。リスクの高いオープンソースの脆弱性を含むコードベースの割合は、昨年のレポートと比較して11%減少しました。これは、組織がリスクの高い脆弱性の迅速な特定、優先順位付け、軽減の重要性に力点を置き始めていることを示しています。     

運用上のリスクが懸念される

脆弱性の改善にもかかわらず、過去2年間に開発活動やユーザーによる更新が行われていないオープンソースが相当数のコードベースに含まれ ていました。機能のアップグレード、コードの改善、またはセキュリティ修正アクティビティが24か月間行われなければ、プロジェクトはまったく維持されていない可能性があります。

0

0

0

0

記録的なM&A(合併・買収)取引の年にも主要産業は依然として脆弱なまま

同じことがすべての業界分野で起こっています。オープンソースはほぼすべてのコードベースに存在し、コードベース全体の大部分を占めており、エクスプロイトや攻撃に対して脆弱でした。 このようなビジネス・リスクを排除するには、製造元や入手方法にかかわらず、企業が使用するすべてのソフトウェアの包括的なインベントリが必要です。

2022年版OSSRAレポート オープンソースのセキュリティライセンス、コード品質、メンテナンス上のリスク状態を詳細に分析