2021

&

2021 オープンソース·セキュリティ&リスク分析レポート

今年で6年目を迎える「2021 オープンソース·セキュリティ&リスク分析 (OSSRA)」レポートは、17の業種で1,500以上のコードベースに見られる脆弱性やライセンスの競合を明らかにしています。このレポートには、オープンソースの開発者や利用者が当事者としてソフトウェア·エコシステムや、開発·利用に伴うリスクを理解するための提言を盛り込んでいます。

オープンソースが増えています...

開発者の役割がより重要になるにつれ、オープンソースコードの重要性も増してきました。今日、オープンソースのライブラリは、あらゆる業界のあらゆるアプリケーションの基盤となっています。 あまりにも普及しているため、コードの所有者の多くは自分のソフトウェアに含まれるすべてのオープンソース·コンポーネントを把握しているわけではありません。

1つのアプリケーションにつき、平均 84 のオープンソース・コンポーネント

2016

2020

1つのアプリケーションにつき、平均 528 のオープンソース・コンポーネント

...脆弱性も同様

オープンソースの普及に伴い、残念ながら脆弱性の数も増加しています。今年の報告書では、脆弱性の数が前年比で9%増加しており、これは6年間の報告書の歴史の中で前年比で2番目に高い増加率です。 この傾向はあらゆる業界においてますます多くのソフトウェアが危険にさらされていることを示しています。

84% 少なくとも 1 つの脆弱性が 見つかったコードベースの割合 158 1 つのコードベースに 見つかった脆弱性の数(平均)

...そしてハイリスクな脆弱性

脆弱性の増加と平行して、ハイリスクな脆弱性も増加しています。今年のレポートでは前年に比べて11%増加しています。 これらの大半は2年以上前からコードに存在し、文書化された解決策が用意されています。

  • 少なくとも 1 つの脆弱性を含む コードベースの割合
  • 高リスク脆弱性を含む コードベースの割合
Vulnerabilities in codebases graph chart

コロナ禍の主要産業は脆弱だった

コロナ禍で市場や社会が変化したことが主な要因となり、過去1年間で収益が急激に増加した業界がいくつかありました。今年のレポートでは、これらの業界と、アプリケーションにおけるオープンソースの使用と、脆弱性との間に相関関係があることが明らかになりました。 実際、これらの高成長産業には、最も多くの脆弱性と高リスクの脆弱性がありました。

2021 OSSRA レポート オープンソースのセキュリティ、ライセンス、コード品質、
メンテナンス・リスクの状況を深く掘り下げて紹介します。