米シノプシス(Synopsys)は2020年5月28日、「2020年オープンソースセキュリティ&リスク分析(OSSRA)レポート」を公表した。レポートによると、過去1年間で調査対象となった商用コードベース(ソフトウェアやアプリケーションを構築するためのソースコード群)の99%で1つ以上のオープンソースソフトウェア(OSS)コンポーネントが使用されているという。また、コードベースの91%には長い期間メンテナンスが施されていないOSSコンポーネントが組み込まれていたとして注意を呼び掛けている。
ソフトウェアに必ず含まれるOSSコンポーネント
米シノプシス(Synopsys)は半導体や電子機器の自動設計を支援するEDA(Electronic Design Automation)ソフトウェアの大手ベンダーである。同社は2017年12月にオープンソースソフトウェア(OSS)のセキュリティマネジメント自動化ソリューションを開発する米ブラック・ダック・ソフトウェア(Black Duck Software)を買収、Black Duck監査サービス部門としてセキュリティ事業を続けている。
報告書は、Black Duck監査サービス部門が1253の商用コードベースを調査した結果をシノプシスCybersecurity Research Center(CyRC)が分析し、所見をまとめたものとなっている。Black Duckは2016年からこの調査を続けている。
レポートによると、過去1年間で調査対象となったコードベースの99%で1つ以上のOSSコンポーネントが使われていた。ちなみにビッグデータやAI、BI、マシンラーニング(機械学習)、サイバーセキュリティ、インターネット/ソフトウェアインフラ、モバイルアプリ、エネルギー、金融サービス、製造など9つの領域では、OSSコンポーネントが含まれている割合が100%だった(図1)。
図1:少なくとも1つのオープンソース・コンポーネントを含むコードベースの割合(出典:Synopsys)拡大画像表示
コードベース全体における比率として、70%がオープンソースで構築されていた。インターネット/ソフトウェアインフラ、IoT領域では、コードベースに含まれるオープンソースの割合は80%を超えている(図2)。
図2:コードベースに含まれるオープンソースの割合(出典:Synopsys)拡大画像表示
●Next:脆弱性対策がなされる長期間放置されたOSSコンポーネントの比率
会員登録(無料)が必要です
- 1
- 2
- 次へ >
Synopsys / DevSecOps / 脆弱性 / ユーザー調査 / Black Duck
- 業務システム 2027年4月強制適用へ待ったなし、施行迫る「新リース会計基準」対応の勘所【IT Leaders特別編集版】
- 生成AI/AIエージェント 成否のカギは「データ基盤」に─生成AI時代のデータマネジメント【IT Leaders特別編集号】
- フィジカルAI AI/ロボット─Society 5.0に向けた社会実装が広がる【DIGITAL X/IT Leaders特別編集号】
- メールセキュリティ 導入のみならず運用時の“ポリシー上げ”が肝心[DMARC導入&運用の極意]【IT Leaders特別編集号】
- ゼロトラスト戦略 ランサムウェア、AI詐欺…最新脅威に抗するデジタル免疫力を![前提のゼロトラスト、不断のサイバーハイジーン]【IT Leaders特別編集号】
-
VDIの導入コストを抑制! コストコンシャスなエンタープライズクラスの仮想デスクトップ「Parallels RAS」とは
-
AI時代の“基幹インフラ”へ──NEC・NOT A HOTEL・DeNAが語るZoomを核にしたコミュニケーション変革とAI活用法
-
加速するZoomの進化、エージェント型AIでコミュニケーションの全領域を変革─「Zoom主催リアルイベント Zoomtopia On the Road Japan」レポート
-
14年ぶりに到来したチャンスをどう活かす?企業価値向上とセキュリティ強化・運用効率化をもたらす自社だけの“ドメイン”とは
-
-
-
-
生成AIからAgentic AIへ―HCLSoftware CRO Rajiv Shesh氏に聞く、企業価値創造の課題に応える「X-D-Oフレームワーク」
-
-
-
「プラグアンドゲイン・アプローチ」がプロセス変革のゲームチェンジャー。業務プロセスの持続的な改善を後押しする「SAP Signavio」
-
BPMとプロセスマイニングで継続的なプロセス改善を行う仕組みを構築、NTTデータ イントラマートがすすめる変革のアプローチ
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
