ソースコードの解析ツールを手掛けるソフトウェア企業、米Coverityが発表した最新版のリポート「The 2014 Coverity Scan Open Source Report」によると、商用ソフトウェア(Commercial software)のコードは、オープンソースのコードよりもはるかにセキュリティが強固であるという。
本記事は、プレミアムコンテンツ「Computer Weekly日本語版 9月16日号」(PDF)掲載記事の抄訳版です。本記事の全文は、同プレミアムコンテンツで読むことができます。
なお、同コンテンツのEPUB版およびKindle(MOBI)版も提供しています。
2013年版と2014年版(最新)のリポートでは、同社が実施した静的分析による欠陥密度のスキャンの結果、オープンソースのコードは商用のコードよりも質が高いとしている。
2014年版のリポートでは、セキュリティのコンプライアンス基準に照らした比較も行った。そのコンプライアンス基準には、信頼性の高いアプリケーションの開発などを目的とする非営利団体「Open Web Application Security Project(OWASP)」が提唱する「The OWASP Top Ten」や、世界各地のセキュリティの専門家が推進するプロジェクト「Common Weakness Enumeration(CWE)」が発表している「2011 CWE/SANS Top 25 Most Dangerous Software Errors(最も危険なプログラミングエラートップ25)」などが含まれる。そして調査の結果、商用コードは、オープンソースのそれよりもセキュリティ基準に対するコンプライアンスの準拠度が高いことが分かった。
リポートがこのように結論付けている理由は主に、2014年にオープンソースプロジェクトでセキュリティ上のインシデントが多数発生したこと、またオープンソースプロジェクトは予算が限られているために、広く普及しているセキュリティツールを利用していない場合が多いことが挙げられる。
このリポートは、2500件以上のオープンソースプロジェクトから得た約100億行のコード(C/C++)と、企業で実施された匿名のサンプルプロジェクトを分析した結果に基づいて作成された。
同リポートでは、2013年3月以降に「Coverity Scan」サービスの対象に加わった、人気の高いオープンソースのJavaおよびC#プロジェクトの分析結果を強調している。分析結果の詳細は以下の通りだ。
本記事は抄訳版です。全文は、以下でダウンロード(無料)できます。
■Computer Weekly日本語版 最近のバックナンバー
Computer Weekly日本語版 9月2日号:Windows Server 2003少しだけ延命策
Computer Weekly日本語版 8月19日号:64ビットARMチップ アリか? ナシか?
Computer Weekly日本語版 8月5日号:BoxとDropboxどっちの箱を選ぶ?
スマホのQRコード決済サービス、半数近くの人はキャンペーン終了後も「利用する」――ナイル調べ
キャンペーンに注目が集まるスマホのQRコード決済サービス。実際にはどの程度利用されて...
電通ダイレクトマーケティングとCandeeがアフィリエイト型ライブコマースで協業
アフィリエイト型の料金体系のため、低リスクでのお試し出稿が可能。
チャットアプリ利用率、「LINE」と「Facebook Messenger」の差は?――マイボイスコム調べ
わが国におけるチャットアプリのデファクトスタンダードとは。
ITmediaはアイティメディア株式会社の登録商標です。
