オープンソースの導入急増により、ほとんどのソフトウェアには既知の脆弱(ぜいじゃく)性やライセンスの競合が含まれることが明らかになった。
本記事は、プレミアムコンテンツ「Computer Weekly日本語版 7月4日号」(PDF)掲載記事の抄訳版です。本記事の全文は、同プレミアムコンテンツで読むことができます。
なお、同コンテンツのEPUB版およびKindle(MOBI)版も提供しています。
Synopsysの子会社Black Duck Softwareが、匿名化されたデータ基づく報告書を発表した。その匿名データは、自動車、サイバーセキュリティ、金融サービス、医療など、9つの業種で2017年に監査を受けた1100を超える商用コードベースから得たものだ。
同社が発表した報告書「2018 Open source security and risk analysis(OSSRA)」(2018年版オープンソースセキュリティ&リスク分析)は、調査したアプリケーションの96%がオープンソースコンポーネントを含み、オープンソースの導入が急増していることを大きく取り上げている。
また、コードベースごとに見つかるオープンソースのコンポーネントの平均(257個)は2017年比で75%増加していること、多くのアプリケーションは独自のコードよりもオープンソースコードを多く含んでいることも明らかにしている。
報告書では、調査したコードベースの78%にオープンソースの脆弱性が少なくとも1つ含まれ、コードベース当たり平均64個の脆弱性が存在することも懸念されている。
監査したコードベースで見つかった脆弱性のうち、リスクが高いと考えられる脆弱性は54%を上回るという。
監査したコードベースには、「Apache Struts」も含まれていた。その3分の1にEquifaxへの攻撃(訳注)の原因になった脆弱性が含まれていた。「Heartbleed」「Logjam」「FREAK」「DROWN」「POODLE」などの著名な脆弱性が含まれているコードベースも17%あった。
訳注:2017年に、Equifaxがサイバー攻撃を受けて大量の個人情報が流出した事件。
「最新のソフトウェアやインフラはオープンソーステクノロジーに大きく依存しているため、使用しているコンポーネントがコーポレートガバナンスの重要な位置を占めることは明白だ」と指摘するのは、Black Duckの技術エバンジェリストを務めるティム・マッケイ氏だ。
「オープンソースを使用する企業が増えていることから、オープンソースコンポーネントに含まれる脆弱性を検出するツールを用意し、オープンソースの使用時に求められるライセンスへの準拠を全て管理する必要があることを報告書は示している」
本記事は抄訳版です。全文は、以下でダウンロード(無料)できます。
■Computer Weekly日本語版 最近のバックナンバー
Computer Weekly日本語版 6月20日号 SSDより速いストレージクラスメモリ
Computer Weekly日本語版 6月6日号 Google Pixelbook長期試用レビュー
Computer Weekly日本語版 5月23日号 候補者の選定から面接までこなすAI登場
電通ダイレクトマーケティングとCandeeがアフィリエイト型ライブコマースで協業
アフィリエイト型の料金体系のため、低リスクでのお試し出稿が可能。
チャットアプリ利用率、「LINE」と「Facebook Messenger」の差は?――マイボイスコム調べ
わが国におけるチャットアプリのデファクトスタンダードとは。
SMSでもワンツーワン配信、ユミルリンクが「Cuenote SMS」に機能追加
SMS配信サービス「Cuenote SMS(キューノート SMS)」にURLクリックカウント、差し込み配...
ITmediaはアイティメディア株式会社の登録商標です。
