米シノプシス(Synopsys)は2020年5月28日、「2020年オープンソースセキュリティ&リスク分析(OSSRA)レポート」を公表した。レポートによると、過去1年間で調査対象となった商用コードベース(ソフトウェアやアプリケーションを構築するためのソースコード群)の99%で1つ以上のオープンソースソフトウェア(OSS)コンポーネントが使用されているという。また、コードベースの91%には長い期間メンテナンスが施されていないOSSコンポーネントが組み込まれていたとして注意を呼び掛けている。
ソフトウェアに必ず含まれるOSSコンポーネント
米シノプシス(Synopsys)は半導体や電子機器の自動設計を支援するEDA(Electronic Design Automation)ソフトウェアの大手ベンダーである。同社は2017年12月にオープンソースソフトウェア(OSS)のセキュリティマネジメント自動化ソリューションを開発する米ブラック・ダック・ソフトウェア(Black Duck Software)を買収、Black Duck監査サービス部門としてセキュリティ事業を続けている。
報告書は、Black Duck監査サービス部門が1253の商用コードベースを調査した結果をシノプシスCybersecurity Research Center(CyRC)が分析し、所見をまとめたものとなっている。Black Duckは2016年からこの調査を続けている。
レポートによると、過去1年間で調査対象となったコードベースの99%で1つ以上のOSSコンポーネントが使われていた。ちなみにビッグデータやAI、BI、マシンラーニング(機械学習)、サイバーセキュリティ、インターネット/ソフトウェアインフラ、モバイルアプリ、エネルギー、金融サービス、製造など9つの領域では、OSSコンポーネントが含まれている割合が100%だった(図1)。
拡大画像表示
コードベース全体における比率として、70%がオープンソースで構築されていた。インターネット/ソフトウェアインフラ、IoT領域では、コードベースに含まれるオープンソースの割合は80%を超えている(図2)。
拡大画像表示
●Next:脆弱性対策がなされる長期間放置されたOSSコンポーネントの比率
会員登録(無料)が必要です
- 1
- 2
- 次へ >