Black Duck Softwareの「Center for Open Source Research & Innovation」(COSRI)は、2016年に監査対象になった1071のアプリケーションの分析を行った。
この監査では、全業種のアプリケーションの96%がオープンソースを採用し、その大部分に脆弱(ぜいじゃく)性が含まれていると報告されている。
全体としては、監査対象アプリケーションの60%にリスクの高い脆弱性が含まれていたという。リスクの高い脆弱性を含むアプリケーションの割合が最も高かったのは小売りとEコマース業界で、監査対象アプリケーションの83%に含まれていた。
COSRIのセキュリティ調査機関であるBlack DuckのOpen Source Security Research Groupの責任者クリス・フィアロン氏は、次のように語った。
「COSRIの分析結果は、あらゆる業界の組織がオープンソースを効果的に管理できる状態に至っていないことを明確に示している」
Black Duckによると、「Linux」「PHP」「Ruby on Rails」「Microsoft .NET」はどのバージョンにもリスクの高い脆弱性が含まれているという。
「Cloud Native Computing Foundation」の最近のプレゼンテーションで、オープンソースと商用ソフトウェアの安全性が比較され、多くの脆弱性が共通することが注目された。例えば、「Heartbleed」の原因となったのは「OpenSSL」のバッファーオーバーフローだ。「Shellshock」は、UNIXのシェルの1つであるbash(Bourne Again Shell)のセキュリティの欠陥だった。この特定の欠陥は、1991年にLinuxの作成者リーナス・トーバルズ氏が使ったオリジナルのコードに存在していた。これが、なぜもっと早く見つかって修正されなかったかという疑問は残る。
自動更新をユーザーに「強要する」商用ソフトウェアとは異なり、オープンソースはユーザーが「自主的に」更新を行うサポートモデルになっている。つまり、ユーザーは、使用するオープンソースの修正や更新だけでなく、脆弱性の監視も担当することになる。
Black DuckのCEOルー・シップリー氏は次のように話す。「オープンソース脆弱性のエクスプロイトはアプリケーションセキュリティ最大のリスクになり、大半の企業が直面することになる」
監査対象のアプリケーションでは、オープンソースライセンスの競合も広い範囲で見つかっている。
続きを読むには、[続きを読む]ボタンを押して
会員登録あるいはログインしてください。
AI活用で日本が米国に追い付く――PwC調査
PwC Japanグループが日本で実施した調査の結果から、日本企業によるAI活用が大きく進み、...
SaaS企業の成功メソッド「PLG」を実践するための組織作りとは?
成長を続けるSaaS企業には組織としての共通点がある。それは具体的にどのようなものだろ...
メディア総接触時間、「携帯電話/スマートフォン」が「テレビ」を上回り首位に
博報堂DYメディアパートナーズによる、生活者のメディア接触の現状を捉える年次調査の結...
ITmediaはアイティメディア株式会社の登録商標です。
