2018年07月05日 08時00分 公開
特集/連載

実は穴だらけ多くの企業が抱える致命的なオープンソースリスク

商用コードを監査した結果、多くのオープンソースコードが含まれていることが分かった。問題は、そのコードが内包している脆弱性が放置されていることだ。

[Warwick Ashford,Computer Weekly]

 オープンソースの導入急増により、ほとんどのソフトウェアには既知の脆弱(ぜいじゃく)性やライセンスの競合が含まれることが明らかになった。

Computer Weekly日本語版 7月4日号無料ダウンロード

本記事は、プレミアムコンテンツ「Computer Weekly日本語版 7月4日号」(PDF)掲載記事の抄訳版です。本記事の全文は、同プレミアムコンテンツで読むことができます。

なお、同コンテンツのEPUB版およびKindle(MOBI)版も提供しています。

ボタンボタン

 Synopsysの子会社Black Duck Softwareが、匿名化されたデータ基づく報告書を発表した。その匿名データは、自動車、サイバーセキュリティ、金融サービス、医療など、9つの業種で2017年に監査を受けた1100を超える商用コードベースから得たものだ。

 同社が発表した報告書「2018 Open source security and risk analysis(OSSRA)」(2018年版オープンソースセキュリティ&リスク分析)は、調査したアプリケーションの96%がオープンソースコンポーネントを含み、オープンソースの導入が急増していることを大きく取り上げている。

 また、コードベースごとに見つかるオープンソースのコンポーネントの平均(257個)は2017年比で75%増加していること、多くのアプリケーションは独自のコードよりもオープンソースコードを多く含んでいることも明らかにしている。

 報告書では、調査したコードベースの78%にオープンソースの脆弱性が少なくとも1つ含まれ、コードベース当たり平均64個の脆弱性が存在することも懸念されている。

 監査したコードベースで見つかった脆弱性のうち、リスクが高いと考えられる脆弱性は54%を上回るという。

 監査したコードベースには、「Apache Struts」も含まれていた。その3分の1にEquifaxへの攻撃(訳注)の原因になった脆弱性が含まれていた。「Heartbleed」「Logjam」「FREAK」「DROWN」「POODLE」などの著名な脆弱性が含まれているコードベースも17%あった。

訳注:2017年に、Equifaxがサイバー攻撃を受けて大量の個人情報が流出した事件。

 「最新のソフトウェアやインフラはオープンソーステクノロジーに大きく依存しているため、使用しているコンポーネントがコーポレートガバナンスの重要な位置を占めることは明白だ」と指摘するのは、Black Duckの技術エバンジェリストを務めるティム・マッケイ氏だ。

 「オープンソースを使用する企業が増えていることから、オープンソースコンポーネントに含まれる脆弱性を検出するツールを用意し、オープンソースの使用時に求められるライセンスへの準拠を全て管理する必要があることを報告書は示している」

まん延するオープンソースの脆弱性

ITmedia マーケティング新着記事

news033.jpg

広告運用の自動化 できることとできないこと
日本の広告運用の現場にも自動化がようやく浸透し始めています。とはいえ、全てが自動化...

news069.jpg

デジタル広告の効果測定、7割の広告主が「Cookieだけでは足りない」――サイカ調査
クッキーだけでは足りないといっても、子どものおやつへの不満ではありません。もっとず...

news099.jpg

サイバー・バズ、YouTube企業公式チャンネルの運用代行サービスを開始
サイバー・バズは、YouTube企業公式チャンネルの運用代行サービスを開始した。