1,200を超す商用アプリケーションやライブラリを調査した結果、それらの大半が、オープンソース・コードのセキュリティ・リスクやライセンス上の問題を抱えていると判明
2019年5月29日 東京発 - シノプシス(Synopsys, Inc.、Nasdaq上場コード:SNPS)は本日、
2019年オープンソース・セキュリティ&リスク分析(OSSRA)レポートを公表した。この報告書は、シノプシスのBlack Duck Audit Service部門が1,200を超す商用アプリケーションやライブラリを調査した結果をシノプシス Cybersecurity Research Center (CyRC)が分析し所見をまとめたものである。オープンソース・ソフトウェア利用にあたってのトレンドやパターンが明らかとなり、同時にセキュリティ・リスクやライセンス上の問題を抱えたオープンソース・コンポーネントが依然として蔓延している実態が判明した。
報告書に示されている通り、過去にリスク管理上問題があると指摘されたオープンソース利用状況の多くは現在も継続している。一方で、調査データは注目すべき変化も示している。多くの企業/団体では、オープンソース・リスクの管理能力が強化されているという点である。市販されているソフトウェア・コンポジション解析ソリューションに対する認識と習熟度の高まりが背景にあると思われる。
シノプシス Cybersecurity Research Center プリンシパル・セキュリティ・ストラテジスト Tim Mackeyは、次のように述べている。「近年のソフトウェアの開発と適用において、オープンソース・コンポーネントは極めて重要な役割を果たしています。しかし、その価値を真に活用するためには、そういったコンポーネントがセキュリティやライセンス・コンプライアンスの観点でどんな影響を及ぼすかを理解し対処できなければなりません。今回のOSSRAレポート 2019では、商用アプリケーションに組み込まれているオープンソースに対するリスク管理の現状がどうなっているかを概観できます。一言でいえば、大半のアプリケーションにはセキュリティ脆弱性とライセンス上の問題を抱えたオープンソースが含まれている、という重大な問題を引きずっている一方で、こうした状況が昨年に比べて減少しているという事実から、これらの問題には対処することが可能だということです」
OSSRAレポート 2019で明らかになったオープンソース・リスク・トレンドの中で注目すべきいくつかの点は、下記の通りである。
オープンソースの活用は大幅に増加している
今回(2018年)調査対象となったコードベースの96%には、オープンソース・コンポーネントが組み込まれており、昨年はコードベースあたりのオープンソース・コンポーネント数が平均257であったのに対し、今年は298となっている。
ライセンス上の問題を持ったオープンソースが知的財産を危機に晒している
コードベースの68%には、何らかのライセンス問題を抱えたオープンソースが組み込まれており、38%にはライセンス関係が不明確なオープンソースが含まれている。
“放置”状態のコンポーネントの利用が一般化している
コードベースの85%には、開発から4年以上が経過した時代遅れのオープンソース・コンポーネントや、過去2年間一切手が加えられていないコンポーネントが組み込まれている。陳腐化し誰もメンテナンスしなくなったコンポーネントが意味するものは、そこに潜んでいるかもしれない脆弱性に誰も対処しようとしていないということである。
多くの企業団体では、使用中のオープンソース・コンポーネントにパッチやアップデートを施していない
今回の調査で明らかになった脆弱性の継続年数の平均値は6.6年で、昨年の調査から大幅に伸びている。これは、脆弱性対策のための努力が大幅には改善していないことを示している。コードベースの43%には、10年以上前に明らかになった脆弱性がそのまま残っていた。2018年に16,500以上の脆弱性がNational Vulnerability Databaseに新たに登録されていることを考え合わせると、情報漏洩の増加に対処するためにはパッチ・プロセスを加速しなければならないことは明らかである。
脆弱性のレベルにはばらつきがあるが、企業/団体の多くは最もハイリスクな脆弱性にすら対処していない
今回の報告書から明らかになったのは、オープンソース・ソフトウェアの利用自体に問題があるわけではなく、それどころかオープンソースはソフトウェア・イノベーションにとっては欠かせないコンポーネントであるという点である。そしてその一方で、それらの活用によってもたらされるセキュリティ上ならびにライセンス上のリスクを特定し対処する努力を積極的に行わない場合は、企業/団体にとって非常に大きなダメージになり得るという点である。オープンソースがリスクファクターなのは確かであるが、米・信用情報会社 Equifax社の大規模データ漏洩事件以降、オープンソースが持つリスクに対する認識と市販のソフトウェア・コンポジション解析ソリューションの活用習熟度は高まっており、大きな改善につながっていることも今回の報告書から読み取ることができる。
オープンソースのセキュリティ脆弱性に対する企業/団体の対応能力は向上している
コードベースの60%は少なくとも1つ以上の脆弱性を抱え込んでおり、これは依然として大きな割合ではあるものの、昨年の調査結果の78%からは大きく改善している。
オープンソースのライセンス・コンプライアンスの問題は全体的に見て改善されている
コードベースの68%はライセンス上問題のあるコンポーネントを搭載しているが、昨年の74%からは改善されている
OSSRAレポート 2019の詳細は、下記より入手可能。
シノプシス・ソフトウェア・インテグリティ・プラットフォームについて
シノプシスは、ソフトウェア・インテグリティ・プラットフォームを通じて、ソフトウェアのクオリティとセキュリティを向上させ、それらに関するリスクを開発期間の長期化や開発効率の低下を引き起こすことなく最小化するための最先端のソリューションを提供している。シノプシスはアプリケーション・セキュリティ・テストのリーディング・カンパニーとして高い評価を受けており、スタティック解析、ソフトウェア・コンポジション解析、ダイナミック解析のソリューションを提供している。これにより、ソフトウェア開発企業/団体が独自開発しているコード、用いているオープンソース・ソフトウェア、アプリケーション動作の中に潜む脆弱性や欠陥を短時間で特定/修正することが可能となる。業界をリードするツールならびにサービス、専門技術の組み合わせにより、ソフトウェア開発企業/団体がDevSecOps(開発とセキュリティ確保と運用の連携)プロセスやソフトウェア開発ライフサイクルを通じて最大限のセキュリティとクオリティを達成できるよう支援している企業はシノプシスのみである。
詳細な情報は、https://www.synopsys.com/ja-jp/software-integrity.htmlより入手可能。
シノプシスについて
Synopsys, Inc.(Nasdaq上場コード:SNPS)は、我々が日々使用しているエレクトロニクス機器やソフトウェア製品を開発する先進企業のパートナーとして、半導体設計からソフトウェア開発に至る領域(Silicon to Software)をカバーするソリューションを提供している。電子設計自動化(EDA)ソリューションならびに半導体設計資産(IP)のグローバル・リーディング・カンパニーとして長年にわたる実績を持ち、ソフトウェア品質/セキュリティ・ソリューションの分野でも業界をリードしており、世界第15位のソフトウェア・カンパニーとなっている。シノプシスは、最先端の半導体を開発しているSoC(system-on-chip)設計者、最高レベルの品質とセキュリティが要求されるアプリケーション・ソフトウェアの開発者に、高品質で信頼性の高い革新的製品の開発に欠かせないソリューションを提供している。
詳細情報は、https://www.synopsys.com/ja-jpより入手可能。
# # #
Synopsysは、Synopsys, Inc.の登録商標または商標です。
その他の商標や登録商標は、それぞれの所有者の知的財産です。
<お問い合わせ先>
日本シノプシス合同会社 フィールド・マーケティング・グループ 藤井 浩充
TEL: 03-6746-3940 FAX: 03-6746-3941
2024/5/6 - シノプシス、ソフトウェア・インテグリティ・グループ事業のClearlake Capital社とFrancisco Partners社への売却で正式契約を締結
2024/4/24 - シノプシス、TSMC社の最先端プロセスを活用した次世代チップ・イノベーションを加速
2024/4/17 - シノプシス、包括的なソフトウェア・サプライチェーン・セキュリティ対策のための新ツールBlack Duck Supply Chain Editionを提供開始
2024/4/17 - シノプシス、オープンソース・セキュリティ&リスク分析レポートを発表 コードベースの74%に高リスクのオープンソース脆弱性、前年から54%増加