ソフトウェア・コンポジションの現状2017

アプリケーションの中身?

多くのソフトウェアには、購入やライセンス供与といった商用オフザシェルフやフリーのオープン・ソースなど様々な形でサード・パーティ製のコードが組み込まれています。ソフトウェア・コンポジション解析は、テスト工程の一つです。テスト対象となるソフトウェアをコンポーネント・レベルに分解し、どういったコンポーネントや脆弱性が含まれているかを示すBOM(部品表)を生成します。

「ソフトウェア・コンポジションの現状2017」は、シノプシスのクラウド型ソフトウェア・コンポジション解析ツール「Protecode SC」で1年間で解析された、128,782のソフトウェア・アプリケーションの分析に基づくレポートです。

主な解析結果

  • 約50%のソフトウェア・コンポーネントのバージョンが、4年以上前のものであった。
  • 合計9,553件の公知の脆弱性が確認された。
  • 確認されたCVE(共通脆弱性識別子)のうち45%は2013年以前のものであった。

このレポートをお勧めする理由

開発部門や組織は、ソフトウェア・アプリケーションのセキュリティ上のリスクの一環として、オープン・ソース・ソフトウェア、サード・パーティ製のコードのリスクを把握しておく必要があります。OWASP Top10、特に項目A9「既知の脆弱性のあるコンポーネントの使用」などとあわせて、このレポートをセキュリティ戦略にお役立ていただけます。

ダウンロードして、ぜひレポートをご一読ください。