オープンソースの導入急増により、ほとんどのソフトウェアには既知の脆弱(ぜいじゃく)性やライセンスの競合が含まれることが明らかになった。
Synopsysの子会社Black Duck Softwareが、匿名化されたデータ基づく報告書を発表した。その匿名データは、自動車、サイバーセキュリティ、金融サービス、医療など、9つの業種で2017年に監査を受けた1100を超える商用コードベースから得たものだ。
同社が発表した報告書「2018 Open source security and risk analysis(OSSRA)」(2018年版オープンソースセキュリティ&リスク分析)は、調査したアプリケーションの96%がオープンソースコンポーネントを含み、オープンソースの導入が急増していることを大きく取り上げている。
また、コードベースごとに見つかるオープンソースのコンポーネントの平均(257個)は2017年比で75%増加していること、多くのアプリケーションは独自のコードよりもオープンソースコードを多く含んでいることも明らかにしている。
報告書では、調査したコードベースの78%にオープンソースの脆弱性が少なくとも1つ含まれ、コードベース当たり平均64個の脆弱性が存在することも懸念されている。
監査したコードベースで見つかった脆弱性のうち、リスクが高いと考えられる脆弱性は54%を上回るという。
監査したコードベースには、「Apache Struts」も含まれていた。その3分の1にEquifaxへの攻撃(訳注)の原因になった脆弱性が含まれていた。「Heartbleed」「Logjam」「FREAK」「DROWN」「POODLE」などの著名な脆弱性が含まれているコードベースも17%あった。
訳注:2017年に、Equifaxがサイバー攻撃を受けて大量の個人情報が流出した事件。
「最新のソフトウェアやインフラはオープンソーステクノロジーに大きく依存しているため、使用しているコンポーネントがコーポレートガバナンスの重要な位置を占めることは明白だ」と指摘するのは、Black Duckの技術エバンジェリストを務めるティム・マッケイ氏だ。
「オープンソースを使用する企業が増えていることから、オープンソースコンポーネントに含まれる脆弱性を検出するツールを用意し、オープンソースの使用時に求められるライセンスへの準拠を全て管理する必要があることを報告書は示している」
続きを読むには、[続きを読む]ボタンを押して
会員登録あるいはログインしてください。
売り上げ1億ドル超えのメガヒットアプリ、2021年は233本 うち4分の3がゲーム
年間売り上げが100億ドルを超えるアプリが続出、世界の消費者から財布の中身と生活時間を...
リアル行動ビッグデータを活用したイベント集客特化型デジタル広告 博展とunerryが提供
国内最大級のリアル行動データにより、精度の高いターゲティングを実現するデジタル広告。
InstagramなどSNS向けクリエイティブをディスプレイ広告に変換 「Nova」を使う意義と効果は?
インティメート・マージャーはソーシャルディスプレイ広告の作成・配信ツール「Nova」の...
ITmediaはアイティメディア株式会社の登録商標です。
