日本シノプシスは2023年3月14日、「オープンソース・セキュリティ&リスク分析レポート」の2023年版(2022年の1年間に取得したデータを分析したレポート)を発表した。17種の業界にまたがる1703件のコードベースを調査した結果を分析したもので、企業が利用するソフトウェアに含まれるオープンソースソフトウェア(OSS)のリスクを報告している。調査によると、少なくとも1つの脆弱性が見つかったコードベースの割合は84%で、4年以上前のオープンソースコンポーネントを使い続けているコードベースの割合は89%に上った。いずれも、この5年で見ると増加傾向にある。
日本シノプシスの「オープンソース・セキュリティ&リスク分析レポート」は、企業が利用するソフトウェアに含まれるオープンソースソフトウェア(OSS)のリスクを報告するレポートである。2023年版は、2022年の1年間に取得したデータとして、17種の業界にまたがった1703件のコードベースを分析している。コードベースの元となったデータは、企業買収に伴うソフトウェア資産の分析を受託した際に入手し、分析用に匿名化したものである。
拡大画像表示
2023年版のレポートによると、全コードベース1703件のうちセキュリティリスク診断を受けたコードベース1481件を母集団として、少なくとも1つの脆弱性が見つかったコードベースの割合は84%だった。さらに、4年以上前のオープンソースコンポーネントを使い続けているコードベースの割合は89%だった。いずれも、この5年で見ると増加傾向にある(図1)。
脆弱性が見つかったコードベースの割合は、2018年が60%で、2022年が84%である。2020年も84%だが、2018年から2022年の5年間で増加傾向にある。検出した脆弱性の上位10件は、Web画面開発用のJavaScriptライブラリであるjQueryや、便利な機能をまとめたユーティリティJavaScriptライブラリであるLodashに多く含まれていた(図2)。これらについては、決して危険というわけではなく、よく使うライブラリなので脆弱性も多く見つかり、頻繁に修正されていると同社は説明する。
拡大画像表示
●Next:古いオープンソースコンポーネントが社内でどれだけ使われているか?
会員登録(無料)が必要です