商用コードを監査した結果、多くのオープンソースコードが含まれていることが分かった。問題は、そのコードが内包している脆弱性が放置されていることだ。
オープンソースの導入急増により、ほとんどのソフトウェアには既知の脆弱(ぜいじゃく)性やライセンスの競合が含まれることが明らかになった。
Synopsysの子会社Black Duck Softwareが、匿名化されたデータ基づく報告書を発表した。その匿名データは、自動車、サイバーセキュリティ、金融サービス、医療など、9つの業種で2017年に監査を受けた1100を超える商用コードベースから得たものだ。
同社が発表した報告書「2018 Open source security and risk analysis(OSSRA)」(2018年版オープンソースセキュリティ&リスク分析)は、調査したアプリケーションの96%がオープンソースコンポーネントを含み、オープンソースの導入が急増していることを大きく取り上げている。
また、コードベースごとに見つかるオープンソースのコンポーネントの平均(257個)は2017年比で75%増加していること、多くのアプリケーションは独自のコードよりもオープンソースコードを多く含んでいることも明らかにしている。
報告書では、調査したコードベースの78%にオープンソースの脆弱性が少なくとも1つ含まれ、コードベース当たり平均64個の脆弱性が存在することも懸念されている。
監査したコードベースで見つかった脆弱性のうち、リスクが高いと考えられる脆弱性は54%を上回るという。
監査したコードベースには、「Apache Struts」も含まれていた。その3分の1にEquifaxへの攻撃(訳注)の原因になった脆弱性が含まれていた。「Heartbleed」「Logjam」「FREAK」「DROWN」「POODLE」などの著名な脆弱性が含まれているコードベースも17%あった。
訳注:2017年に、Equifaxがサイバー攻撃を受けて大量の個人情報が流出した事件。
「最新のソフトウェアやインフラはオープンソーステクノロジーに大きく依存しているため、使用しているコンポーネントがコーポレートガバナンスの重要な位置を占めることは明白だ」と指摘するのは、Black Duckの技術エバンジェリストを務めるティム・マッケイ氏だ。
「オープンソースを使用する企業が増えていることから、オープンソースコンポーネントに含まれる脆弱性を検出するツールを用意し、オープンソースの使用時に求められるライセンスへの準拠を全て管理する必要があることを報告書は示している」
続きを読むには、[続きを読む]ボタンを押して
会員登録あるいはログインしてください。
Copyright © ITmedia, Inc. All Rights Reserved.
「テレワークでネットが遅い」の帯域幅じゃない“真犯人”はこれだ
ネットワークの問題は「帯域幅を増やせば解決する」と考えてはいないだろうか。こうした誤解をしているIT担当者は珍しくない。ネットワークを快適に利用するために、持つべき視点とは。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
ITmediaはアイティメディア株式会社の登録商標です。
