Black Duck Softwareの「Center for Open Source Research & Innovation」(COSRI)は、2016年に監査対象になった1071のアプリケーションの分析を行った。
本記事は、プレミアムコンテンツ「Computer Weekly日本語版 6月7日号」(PDF)掲載記事の抄訳版です。本記事の全文は、同プレミアムコンテンツで読むことができます。
なお、同コンテンツのEPUB版およびKindle(MOBI)版も提供しています。
この監査では、全業種のアプリケーションの96%がオープンソースを採用し、その大部分に脆弱(ぜいじゃく)性が含まれていると報告されている。
全体としては、監査対象アプリケーションの60%にリスクの高い脆弱性が含まれていたという。リスクの高い脆弱性を含むアプリケーションの割合が最も高かったのは小売りとEコマース業界で、監査対象アプリケーションの83%に含まれていた。
COSRIのセキュリティ調査機関であるBlack DuckのOpen Source Security Research Groupの責任者クリス・フィアロン氏は、次のように語った。
「COSRIの分析結果は、あらゆる業界の組織がオープンソースを効果的に管理できる状態に至っていないことを明確に示している」
Black Duckによると、「Linux」「PHP」「Ruby on Rails」「Microsoft .NET」はどのバージョンにもリスクの高い脆弱性が含まれているという。
「Cloud Native Computing Foundation」の最近のプレゼンテーションで、オープンソースと商用ソフトウェアの安全性が比較され、多くの脆弱性が共通することが注目された。例えば、「Heartbleed」の原因となったのは「OpenSSL」のバッファーオーバーフローだ。「Shellshock」は、UNIXのシェルの1つであるbash(Bourne Again Shell)のセキュリティの欠陥だった。この特定の欠陥は、1991年にLinuxの作成者リーナス・トーバルズ氏が使ったオリジナルのコードに存在していた。これが、なぜもっと早く見つかって修正されなかったかという疑問は残る。
自動更新をユーザーに「強要する」商用ソフトウェアとは異なり、オープンソースはユーザーが「自主的に」更新を行うサポートモデルになっている。つまり、ユーザーは、使用するオープンソースの修正や更新だけでなく、脆弱性の監視も担当することになる。
Black DuckのCEOルー・シップリー氏は次のように話す。「オープンソース脆弱性のエクスプロイトはアプリケーションセキュリティ最大のリスクになり、大半の企業が直面することになる」
監査対象のアプリケーションでは、オープンソースライセンスの競合も広い範囲で見つかっている。
本記事は抄訳版です。全文は、以下でダウンロード(無料)できます。
■Computer Weekly日本語版 最近のバックナンバー
Computer Weekly日本語版 5月24日号 ブロックチェーンの意外な活用法
Computer Weekly日本語版 5月10日号 システム導入を阻む反対派への対処法
Computer Weekly日本語版 4月19日号 RAID vs. イレージャーコーディング
「メイド・イン・アフリカ」を世界へ ガーナの村を支援する日本人女性の奮闘――SKYAH 原ゆかり氏
新市場の創造を目指す挑戦者を紹介します。
平成の消費に影響を与えたものは「スマホ」「ネット通販」「PC」――博報堂生活総合研究所「消費1万人調査」
博報堂生活総合研究所が実施した「消費1万人調査」より、「平成の消費観・消費行動に影響...
結果の出ないWebサイトをリニューアルする前にまずやるべきこと
「Webサイト育成」についての連載です。
ITmediaはアイティメディア株式会社の登録商標です。
