[調査・レポート]

商用ソフトに含まれる長期間未更新のOSSコンポーネントに注意─シノプシス調査

2020年6月2日(火)杉田 悟(IT Leaders編集部)

米シノプシス(Synopsys)は2020年5月28日、「2020年オープンソースセキュリティ&リスク分析(OSSRA)レポート」を公表した。レポートによると、過去1年間で調査対象となった商用コードベース(ソフトウェアやアプリケーションを構築するためのソースコード群)の99%で1つ以上のオープンソースソフトウェア(OSS)コンポーネントが使用されているという。また、コードベースの91%には、長い期間メンテナンスが施されていないOSSコンポーネントが組み込まれていたとして注意を呼び掛けている。

ソフトウェアに必ず含まれるOSSコンポーネント

 米シノプシス(Synopsys)は半導体や電子機器の自動設計を支援するEDA(Electronic Design Automation)ソフトウェアの大手ベンダーである。同社は2017年12月にオープンソースソフトウェア(OSS)のセキュリティマネジメント自動化ソリューションを開発する米ブラック・ダック・ソフトウェア(Black Duck Software)を買収、Black Duck監査サービス部門としてセキュリティ事業を続けている。

 報告書は、Black Duck監査サービス部門が1253の商用コードベースを調査した結果をシノプシスCybersecurity Research Center(CyRC)が分析し、所見をまとめたものとなっている。Black Duckは2016年からこの調査を続けている。

 レポートによると、過去1年間で調査対象となったコードベースの99%で1つ以上のOSSコンポーネントが使われていた。ちなみにビッグデータやAI、BI、マシンラーニング(機械学習)、サイバーセキュリティ、インターネット/ソフトウェアインフラ、モバイルアプリ、エネルギー、金融サービス、製造など9つの領域では、OSSコンポーネントが含まれている割合が100%だった(図1)。

図1:少なくとも1つのオープンソース・コンポーネントを含むコードベースの割合(出典:Synopsys)
拡大画像表示

 コードベース全体における比率として、70%がオープンソースで構築されていた。インターネット/ソフトウェアインフラ、IoT領域では、コードベースに含まれるオープンソースの割合は80%を超えている(図2)。

図2:コードベースに含まれるオープンソースの割合(出典:Synopsys)
拡大画像表示

●Next:脆弱性対策がなされる長期間放置されたOSSコンポーネントの比率

この記事の続きをお読みいただくには、
会員登録(無料)が必要です
  • 1
  • 2
関連キーワード

Synopsys / Black Duck Software / OSS / DevSecOps

関連記事

トピックス

[Sponsored]

商用ソフトに含まれる長期間未更新のOSSコンポーネントに注意─シノプシス調査米シノプシス(Synopsys)は2020年5月28日、「2020年オープンソースセキュリティ&リスク分析(OSSRA)レポート」を公表した。レポートによると、過去1年間で調査対象となった商用コードベース(ソフトウェアやアプリケーションを構築するためのソースコード群)の99%で1つ以上のオープンソースソフトウェア(OSS)コンポーネントが使用されているという。また、コードベースの91%には、長い期間メンテナンスが施されていないOSSコンポーネントが組み込まれていたとして注意を呼び掛けている。

PAGE TOP