オープンソースの導入急増により、ほとんどのソフトウェアには既知の脆弱(ぜいじゃく)性やライセンスの競合が含まれることが明らかになった。
本記事は、プレミアムコンテンツ「Computer Weekly日本語版 7月4日号」(PDF)掲載記事の抄訳版です。本記事の全文は、同プレミアムコンテンツで読むことができます。
なお、同コンテンツのEPUB版およびKindle(MOBI)版も提供しています。
Synopsysの子会社Black Duck Softwareが、匿名化されたデータ基づく報告書を発表した。その匿名データは、自動車、サイバーセキュリティ、金融サービス、医療など、9つの業種で2017年に監査を受けた1100を超える商用コードベースから得たものだ。
同社が発表した報告書「2018 Open source security and risk analysis(OSSRA)」(2018年版オープンソースセキュリティ&リスク分析)は、調査したアプリケーションの96%がオープンソースコンポーネントを含み、オープンソースの導入が急増していることを大きく取り上げている。
また、コードベースごとに見つかるオープンソースのコンポーネントの平均(257個)は2017年比で75%増加していること、多くのアプリケーションは独自のコードよりもオープンソースコードを多く含んでいることも明らかにしている。
報告書では、調査したコードベースの78%にオープンソースの脆弱性が少なくとも1つ含まれ、コードベース当たり平均64個の脆弱性が存在することも懸念されている。
監査したコードベースで見つかった脆弱性のうち、リスクが高いと考えられる脆弱性は54%を上回るという。
監査したコードベースには、「Apache Struts」も含まれていた。その3分の1にEquifaxへの攻撃(訳注)の原因になった脆弱性が含まれていた。「Heartbleed」「Logjam」「FREAK」「DROWN」「POODLE」などの著名な脆弱性が含まれているコードベースも17%あった。
訳注:2017年に、Equifaxがサイバー攻撃を受けて大量の個人情報が流出した事件。
「最新のソフトウェアやインフラはオープンソーステクノロジーに大きく依存しているため、使用しているコンポーネントがコーポレートガバナンスの重要な位置を占めることは明白だ」と指摘するのは、Black Duckの技術エバンジェリストを務めるティム・マッケイ氏だ。
「オープンソースを使用する企業が増えていることから、オープンソースコンポーネントに含まれる脆弱性を検出するツールを用意し、オープンソースの使用時に求められるライセンスへの準拠を全て管理する必要があることを報告書は示している」
本記事は抄訳版です。全文は、以下でダウンロード(無料)できます。
■Computer Weekly日本語版 最近のバックナンバー
Computer Weekly日本語版 6月20日号 SSDより速いストレージクラスメモリ
Computer Weekly日本語版 6月6日号 Google Pixelbook長期試用レビュー
Computer Weekly日本語版 5月23日号 候補者の選定から面接までこなすAI登場
ブランドにとってのTwitterの価値は「オーディエンス」 『カメ止め』女優や経沢香保子氏らが語る
映画『カメラを止めるな!』に出演した女優しゅはまはるみ氏、アーティスト和田永氏、キ...
世界の顧客満足度は下降傾向に――Zendesk調査
Zendeskの「カスタマーエクスペリエンス傾向分析レポート2019年版」より。
ツイートから見る訪日外国人の高評価観光スポット――東京海上日動火災保険とNTTデータ調査
ソーシャルビッグデータを活用した全国インバウンド観光調査の結果です。
ITmediaはアイティメディア株式会社の登録商標です。
