米シノプシス(Synopsys)日本法人の日本シノプシスは2022年11月2日、「セキュア開発成熟度モデル(BSIMM)」のグローバル調査レポート「BSIMM13」の日本語版を公開した。同調査により、オープンソースソフトウェア(OSS)のリスク管理への取り組みが過去12カ月間で51%増加している。また、採用するソフトウェア内部コンポーネントを網羅するためにSBOM(ソフトウェア部品表)を整備/保守している企業/団体が30%増加している。
シノプシスが2008年からグローバルで実施している「セキュア開発成熟度モデル(BSIMM)」は、ソフトウェアセキュリティ関連エンジニアの取り組みを調査して数値化した成熟度指標/調査である。最新の調査レポートであるBSIMM13では、世界130社の企業/団体を対象にした調査・分析で、ソフトウェアセキュリティへの取り組みの傾向を示している。
同調査によると、オープンソースソフトウェア(OSS)のリスク管理への取り組みが、過去12カ月間で51%増加している。また、採用するソフトウェア内部コンポーネントを網羅するためにSBOM(Software Bill of Materials:ソフトウェア部品表、エスボム)を整備/保守している企業/団体が30%増加している。
「近年のサプライチェーン攻撃の増加を受けて、主にOSSに潜むリスクの特定と対策として実施されているソ
セキュリティへの取り組みを、CI/CD(継続的インテグレーション/継続的デリバリー)パイプラインや開発者が使用するツールチェーンに組み込んでいく活動も大きく進展している。調査では、品質保証の自動化プロセスにセキュリティテストを組み込む活動が過去12カ月間で48%増加している。
CI/CDのための自動化プログラムのように、アプリケーションではないソフトウェアのセキュリティを確保するための取り組みも活発で、継続的な品質向上を実現するために実稼働データを活用する動きが過去12カ月間で95%増加している。
また、自動コードレビュー(静的解析)ツールを活用している企業が82%に達していることがわかった。日本シノプシスによると、これは、今回の調査の中で観測した取り組みのトップ10に入るという。「静的解析ツールにより、追加のセキュリティテストを迅速に実施し、ライフサイクル全体のどこかで発生する脆弱性を特定可能である」(同社)。
