オープンソース·セキュリティ&リスク分析レポート
96%
76%
96% オープンソースを含むコードベースの割合
76% 全コードベースに占めるオープンソース・コードの割合
84%
48%
84% 1つ以上の脆弱性を含むコードベースの割合
48% 高リスク脆弱性を含むコードベースの割合
オープンソースを含むコードベースの割合
全コードベースに占めるオープンソース・コードの割合
航空宇宙/航空機/自動車/運輸/物流
ビッグデータ/AI/BI/機械学習
コンピュータ・ハードウェア/半導体
サイバーセキュリティ
エドテック
エネルギー/クリーンテック
エンタープライズ・ソフトウェア/SaaS
金融サービス/フィンテック
医療/ヘルステック/生命科学
インターネット/モバイル・アプリ
インターネット/ソフトウェア・インフラストラクチャ
IoT
製造/産業/
ロボット工学
マーケティングテック
リテール/ eコマース
テレコミュニケーション/ ワイヤレス
仮想現実(VR)/ゲーム/ エンターテインメント/メディア
今回で第8版となる年次レポート「オープンソース·セキュリティ&リスク分析」(OSSRA)レポートは、17の業界にわたる約1,700のコードベースに見られる脆弱性とライセンスの競合を調査しています。このレポートは、セキュリティ、法務、リスク、開発の各チームが、オープンソースの開発および使用に伴うセキュリティとリスクの状況をより良く理解するための推奨事項を示しています。
オープンソースは、商用コードベースの大部分の基礎として機能し、その持続的な力を証明し続けています。実際、オープンソースは現代の開発において非常に密接に絡み合っており、コードの所有者はしばしば自分自身のソフトウェアに含まれるオープンソース·コンポーネントを知らないことがあります。
セキュリティ脆弱性を含むコードベースの全体的な割合は、依然として厄介なほど高い水準にあります。 1年間は緩やかな進展でしたが、2022年中にも脆弱性がわずかに増加(4%)しました。 全体の脆弱性はわずかに増加したものの、高リスクの脆弱性を含むコードベースの割合は昨年から2%減少し、48%となりました。また、Log4Jが減少しており、今年は監査対象のJavaコードベースの11%で発見され、15%から減少していることも期待されます。改善されたとはいえ、これは、組織がパッチの実装に失敗しているという大きな傾向を示しています。
過去2年間、開発活動もユーザーによる更新も行われていないオープンソースが、コードベースに含まれていることが懸念となっています。 24ヶ月間、機能のアップグレード、コードの改善、セキュリティの修正が行われていない場合、そのプロジェクトはもはや全くメンテナンスされていない可能性があります。
すべての業種において同じような結果が得られました。オープンソースはほとんどすべてのコードベースに存在し、コードベース全体の大部分を占めており、悪用や攻撃に対して脆弱であることがわかりました。このビジネス·リスクを軽減できるのは、組織で使用されているすべてのソフトウェアの包括的なインベントリだけです。
2023年版 OSSRAレポート オープンソースのセキュリティ、ライセンス、コード品質、メンテナンス・リスクの現状を深堀りします