Black Duck監査サービスの結果、多くの組織において、追跡されているオープンソースは利用されているオープンソースの半分にも満たないことがわかっています。オープンソースはさまざまな経路でコードに侵入するため、開発チームが効果的に追跡することはほぼ不可能です。
2023年のオープンソースのセキュリティおよびリスク解析レポート
オープンソースのダウンロード要求の16件に1件は、既知の脆弱性を持ったコンポーネントに対するものです。こうしたリスクを低減するため、セキュリティのプロの間でSCAツールが注目されています。"
Forrester Wave™: ソフトウェア・コンポジション解析
|Amy DeMartine
オープンソースは広く普及しているため、ハッカーの格好の標的です。HeartbleedやEquifaxへの侵入が示すように、オープンソースの1つの脆弱性が無数のアプリケーションへのハッキングの手がかりを与えてしまう場合があります。
オープンソース・ハッカーに対抗して重要データと顧客の信用を守るには、コードの内容を理解してハッキングを未然に防ぐ必要があります。
シノプシスが追跡している2,500件以上のオープンソース・ライセンスの多くは自由なライセンスである一方、GNU General Public License(GPL)のような互恵ライセンスでは、作成するソフトウェアの利用または譲渡の許諾条件に制限を課しています。オープンソースの追跡および管理にBlack Duckを利用することにより、高額の訴訟に発展する可能性があるライセンス違反や重要な知的財産の侵害を防ぐことが可能です。
OpenTextが自社システムにシノプシスのBlack Duckを統合してライセンスのコンプライアンスを維持している事例をご紹介します。