2015年09月17日 08時00分 公開
特集/連載

コード分析で分かった「商用ソフトはOSSよりセキュリティが強固」な理由とは?コード品質はOSSの方が高い

5400件以上のOSSプロジェクトを解析し、24万件の欠陥を検出してきたCoverityが、約100億行のオープンソースコードと商用プロジェクトのコードを比較。OSSのコードがセキュリティに問題を抱える理由とは?

[Warwick Ashford,Computer Weekly]

 ソースコードの解析ツールを手掛けるソフトウェア企業、米Coverityが発表した最新版のリポート「The 2014 Coverity Scan Open Source Report」によると、商用ソフトウェア(Commercial software)のコードは、オープンソースのコードよりもはるかにセキュリティが強固であるという。

 2013年版と2014年版(最新)のリポートでは、同社が実施した静的分析による欠陥密度のスキャンの結果、オープンソースのコードは商用のコードよりも質が高いとしている。

 2014年版のリポートでは、セキュリティのコンプライアンス基準に照らした比較も行った。そのコンプライアンス基準には、信頼性の高いアプリケーションの開発などを目的とする非営利団体「Open Web Application Security Project(OWASP)」が提唱する「The OWASP Top Ten」や、世界各地のセキュリティの専門家が推進するプロジェクト「Common Weakness Enumeration(CWE)」が発表している「2011 CWE/SANS Top 25 Most Dangerous Software Errors(最も危険なプログラミングエラートップ25)」などが含まれる。そして調査の結果、商用コードは、オープンソースのそれよりもセキュリティ基準に対するコンプライアンスの準拠度が高いことが分かった。

 リポートがこのように結論付けている理由は主に、2014年にオープンソースプロジェクトでセキュリティ上のインシデントが多数発生したこと、またオープンソースプロジェクトは予算が限られているために、広く普及しているセキュリティツールを利用していない場合が多いことが挙げられる。

 このリポートは、2500件以上のオープンソースプロジェクトから得た約100億行のコード(C/C++)と、企業で実施された匿名のサンプルプロジェクトを分析した結果に基づいて作成された。

欠陥密度の改善

 同リポートでは、2013年3月以降に「Coverity Scan」サービスの対象に加わった、人気の高いオープンソースのJavaおよびC#プロジェクトの分析結果を強調している。分析結果の詳細は以下の通りだ。




続きを読むには、[続きを読む]ボタンを押して
会員登録あるいはログインしてください。






ITmedia マーケティング新着記事

news016.jpg

「パーソナライゼーションエンジン」 売れ筋TOP10(2021年9月)
今週はパーソナライゼーション製品の売れ筋TOP10を紹介します。

news018.jpg

アフリカFinTech事情 初のキャッシュレス大陸への勢いが止まらない
FinTechのユニコーンが続々と生まれるアフリカ大陸。砂漠の南が燃えています。

news162.jpg

テレビと広告とTwitterと人間の脳の関係について、いま分かっていること(無料eBook)
「ITmedia マーケティング」では、気になるマーケティングトレンドをeBookにまとめて不定...