IT Leaders トップテクノロジー一覧セキュリティ調査・レポート > 企業が持つソフトウェアの84%に脆弱性、日本シノプシスがオープンソースのリスク分析を報告
セキュリティ セキュリティ記事一覧へ

[調査・レポート]

企業が持つソフトウェアの84%に脆弱性、日本シノプシスがオープンソースのリスク分析を報告

2023年3月14日(火)日川 佳三(IT Leaders編集部)

日本シノプシスは2023年3月14日、「オープンソース・セキュリティ&リスク分析レポート」の2023年版(2022年の1年間に取得したデータを分析したレポート)を発表した。17種の業界にまたがる1703件のコードベースを調査した結果を分析したもので、企業が利用するソフトウェアに含まれるオープンソースソフトウェア(OSS)のリスクを報告している。調査によると、少なくとも1つの脆弱性が見つかったコードベースの割合は84%で、4年以上前のオープンソースコンポーネントを使い続けているコードベースの割合は89%に上った。いずれも、この5年で見ると増加傾向にある。

 日本シノプシスの「オープンソース・セキュリティ&リスク分析レポート」は、企業が利用するソフトウェアに含まれるオープンソースソフトウェア(OSS)のリスクを報告するレポートである。2023年版は、2022年の1年間に取得したデータとして、17種の業界にまたがった1703件のコードベースを分析している。コードベースの元となったデータは、企業買収に伴うソフトウェア資産の分析を受託した際に入手し、分析用に匿名化したものである。

図1:脆弱性が見つかったコードベースの割合(出典:日本シノプシス)
拡大画像表示

 2023年版のレポートによると、全コードベース1703件のうちセキュリティリスク診断を受けたコードベース1481件を母集団として、少なくとも1つの脆弱性が見つかったコードベースの割合は84%だった。さらに、4年以上前のオープンソースコンポーネントを使い続けているコードベースの割合は89%だった。いずれも、この5年で見ると増加傾向にある(図1)。

 脆弱性が見つかったコードベースの割合は、2018年が60%で、2022年が84%である。2020年も84%だが、2018年から2022年の5年間で増加傾向にある。検出した脆弱性の上位10件は、Web画面開発用のJavaScriptライブラリであるjQueryや、便利な機能をまとめたユーティリティJavaScriptライブラリであるLodashに多く含まれていた(図2)。これらについては、決して危険というわけではなく、よく使うライブラリなので脆弱性も多く見つかり、頻繁に修正されていると同社は説明する。

図2:検出した脆弱性の上位10件はJavaScriptライブラリ(jQuery、Lodash)のもの(出典:日本シノプシス)
拡大画像表示

●Next:古いオープンソースコンポーネントが社内でどれだけ使われているか?

この記事の続きをお読みいただくには、
会員登録(無料)が必要です
関連キーワード

Synopsys / ユーザー調査 / Log4j / JavaScript / SBOM

関連記事

おすすめのホワイトペーパー

more「製品/サービス資料ダウンロードサイト「Impress Business Library」へ」

トピックス

[Sponsored]

企業が持つソフトウェアの84%に脆弱性、日本シノプシスがオープンソースのリスク分析を報告日本シノプシスは2023年3月14日、「オープンソース・セキュリティ&リスク分析レポート」の2023年版(2022年の1年間に取得したデータを分析したレポート)を発表した。17種の業界にまたがる1703件のコードベースを調査した結果を分析したもので、企業が利用するソフトウェアに含まれるオープンソースソフトウェア(OSS)のリスクを報告している。調査によると、少なくとも1つの脆弱性が見つかったコードベースの割合は84%で、4年以上前のオープンソースコンポーネントを使い続けているコードベースの割合は89%に上った。いずれも、この5年で見ると増加傾向にある。

PAGE TOP