Black Duck Softwareがオープンソースのアプリケーションを分析した結果、その多くでセキュリティ上の欠陥を内包していることが明らかになった。しかし、判明したリスクはセキュリティ面だけではなかった。
Black Duck Softwareの「Center for Open Source Research & Innovation」(COSRI)は、2016年に監査対象になった1071のアプリケーションの分析を行った。
この監査では、全業種のアプリケーションの96%がオープンソースを採用し、その大部分に脆弱(ぜいじゃく)性が含まれていると報告されている。
全体としては、監査対象アプリケーションの60%にリスクの高い脆弱性が含まれていたという。リスクの高い脆弱性を含むアプリケーションの割合が最も高かったのは小売りとEコマース業界で、監査対象アプリケーションの83%に含まれていた。
COSRIのセキュリティ調査機関であるBlack DuckのOpen Source Security Research Groupの責任者クリス・フィアロン氏は、次のように語った。
「COSRIの分析結果は、あらゆる業界の組織がオープンソースを効果的に管理できる状態に至っていないことを明確に示している」
Black Duckによると、「Linux」「PHP」「Ruby on Rails」「Microsoft .NET」はどのバージョンにもリスクの高い脆弱性が含まれているという。
「Cloud Native Computing Foundation」の最近のプレゼンテーションで、オープンソースと商用ソフトウェアの安全性が比較され、多くの脆弱性が共通することが注目された。例えば、「Heartbleed」の原因となったのは「OpenSSL」のバッファーオーバーフローだ。「Shellshock」は、UNIXのシェルの1つであるbash(Bourne Again Shell)のセキュリティの欠陥だった。この特定の欠陥は、1991年にLinuxの作成者リーナス・トーバルズ氏が使ったオリジナルのコードに存在していた。これが、なぜもっと早く見つかって修正されなかったかという疑問は残る。
自動更新をユーザーに「強要する」商用ソフトウェアとは異なり、オープンソースはユーザーが「自主的に」更新を行うサポートモデルになっている。つまり、ユーザーは、使用するオープンソースの修正や更新だけでなく、脆弱性の監視も担当することになる。
Black DuckのCEOルー・シップリー氏は次のように話す。「オープンソース脆弱性のエクスプロイトはアプリケーションセキュリティ最大のリスクになり、大半の企業が直面することになる」
監査対象のアプリケーションでは、オープンソースライセンスの競合も広い範囲で見つかっている。
続きを読むには、[続きを読む]ボタンを押して
会員登録あるいはログインしてください。
Copyright © ITmedia, Inc. All Rights Reserved.
お知らせ
米国TechTarget Inc.とInforma Techデジタル事業が業務提携したことが発表されました。TechTargetジャパンは従来どおり、アイティメディア(株)が運営を継続します。これからも日本企業のIT選定に役立つ情報を提供してまいります。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年4月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
Cookieを超える「マルチリターゲティング」 広告効果に及ぼす影響は?
Cookieレスの課題解決の鍵となる「マルチリターゲティング」を題材に、AI技術によるROI向...
「マーケティングオートメーション」 国内売れ筋TOP10(2025年4月)
今週は、マーケティングオートメーション(MA)ツールの売れ筋TOP10を紹介します。