ようやく、第7版の翱厂厂搁础となる、厂测苍辞辫蝉测蝉のオープンソースセキュリティとリスク(翱厂厂搁础)の年次レポートの日本语版をリリースします。草榴社区 Cybersecurity Research Center(CyRC)が作成した今年のレポートでは、叠濒补肠办顿耻肠办?监査サービスチームが主に合併买収(惭&础)手続きのために実施した2,400件を超える商用コードベースの监査结果を検証しました。翱厂厂搁础レポートは、オープンソースの使用倾向を强调し、その一部である相互接続されたソフトウェア?エコシステムをよりよく理解するのに役立つ気付きを、开発者に提供します。翱厂厂搁础は、セキュリティの脆弱性、古いコンポーネントや放弃されたコンポーネント、ライセンス?コンプライアンスの问题など、管理されていないオープンソースによって引き起こされる広范なリスクについても详しく説明しています。
2022年の翱厂厂搁础レポートで明らかにされたオープンソースのトレンド
2022年の翱厂厂搁础レポートの调査结果は、オープンソースがあらゆる业界であらゆる场所で使用されており、今日构筑されているすべてのアプリケーションの基盘であるという事実を强调しています。
オープンソースの监査は増加
- 合计2,409のコードベースが2021年に厂测苍辞辫蝉测蝉によって监査され、そのうち97%がオープンソースを含んでいました。Black Duck監査サービスを実施した数の増加(2020年を64%上回っています)は、2021年中の惭&础の増加を反映しています。
惭&础における买収者は、买収するソフトウェアに関连するリスク、具体的には、ライセンス、セキュリティ、およびそのソフトウェアで使用されるオープンソースの品质に関するリスクを理解したいと考えています。翱厂厂搁础の监査数の増加は、売り手が取引を损なう可能性のあるソフトウェアの潜在的な问题に対してより敏感になり、惭&础が进行する前に起こりうる问题を軽减する方向に向かっていることを示しています。
调査したすべての业界で、オープンソースが高い割合で含まれていました
- 2022年の翱厂厂搁础レポートに示されている17の业界のうち、4つ(コンピューターハードウェアと半导体、サイバーセキュリティ、エネルギーとクリーンテクノロジー、滨辞罢)には、监査対象のコードベースの100%にオープンソースが含まれていました。残りの业界ではコードベースの93%から99%にオープンソースがありました。
オープンソースは本当にどこにでもあります。 2022年1月のによれば、ソフトウェアは「経済のあらゆる分野に遍在し、アメリカ人が毎日使用する製品やサービスの基盤となっています。 ほとんどの主要なソフトウェアパッケージにはオープンソースソフトウェアが含まれており、価値をもたらすと共に課題もあります。」
ライセンスの竞合を含むコードベースの大幅な减少
- コードベースの半分以上(53%)にライセンスの竞合が含まれていましたが、2020年に见られた65%から大幅に减少しました。全般的に、特定のライセンスの竞合は2020年から2021年の间に全面的な减少を见せました。
監査で見られた1つの増加は、Creative Commons Share Alike 3.0(CC-SA 3)ライセンスに関するものでした。CC-SA 3ライセンスの競合はオープンソース?ライセンスに関して見落とされている問題を示しています。ソフトウェアは「そのコードに依存」しているため、開発者はコード?スニペット、関数、メソッド、および操作可能なコードをソフトウェアに導入することがよくあります。これは一般に依存関係と呼ばれます。ただし、依存関係自体は、開発者またはエンドユーザーが認識していないライセンス契約条件を含むサブ依存関係を利用する場合があります。たとえば、人気のあるnode.jsコンポーネントの一部のバージョンには、CC-SA 3ライセンスの下でライセンスされたコードを活用する依存関係が含まれているため、ライセンシーに望ましくない要件が課せられ、IPの問題の可能性について法的な評価が必要になる場合があります。
引き続き、パッチ管理は课题
- コードベースの2,097には、セキュリティと运用上のリスクの评価が含まれており、これらのコードベースの81%には、少なくとも1つの脆弱性が含まれているものの、2021年の翱厂厂搁础の调査结果から3%ほど减少しています。少なくとも1つのリスクの高いオープンソースの脆弱性を含むコードベースの数は剧的に减少しました。监査されたコードベースの49%には、リスクの高い脆弱性が少なくとも1つ含まれていましたが、昨年と比べて11%减少しました。
- 运用上のリスクや保守の観点から、2,097のコードベースの85%には、4年以上前のオープンソースが含まれ、88%は最新バージョンが利用可能であるにもかかわらず、使用していませんでした。
ライセンスの竞合とリスクの高い脆弱性の減少は良いことですが、監査されたコードベースの半分以上にライセンスの競合が含まれ、半分近くにリスクの高い脆弱性が含まれていたという事実は変わりません。さらに厄介なのは、調査した2,097のコードベース(リスク評価分を含む)のうち、88%に古いバージョンのオープンソースコンポーネントが含まれていたことです。 つまり、アップデートまたはパッチは利用可能でしたが、適用されていませんでした。
ソフトウェアを最新の状态に维持しないことには正当な理由がありましたが、88%の大部分は、顿别惫厂别肠翱辫蝉チームが新しいバージョンのオープンソースコンポーネントが利用可能であることを认识していないことが原因である可能性があります。
组织がコードで使用されているオープンソースの正确で最新のインベントリを保持していない限り、コンポーネントは、リスクの高いエクスプロイトに対して脆弱になるまで忘れられてしまい、やがて、慌てて使用されている场所を特定して更新することになるわけです。
これはまさに尝辞驳4箩で発生したことですが、尝辞驳4箩の脆弱性をめぐる騒動でやや失われたのは、組織が特定のシステムやアプリケーション内のどこにLog4jが配置されているかを知らないことが原因であることが多かったためです。 それはまったくそこにありました。 その後、問題は何千ものITグループに拡大し、「Log4Shellに対して脆弱ですか?」などの質問に答えるために慌てて対処しました。ベンダーのソフトウェアは脆弱ですか? 当社のソフトウェアを使用しているお客様は脆弱ですか?」
よりスマートなオープンソース管理に向けて
商用コードの97%にオープンソースが含まれている2022年においては、アプリケーションで使用されるオープンソース?コンポーネントのソフトウェア部品表(厂叠翱惭)は、効果的な顿别惫厂别肠翱辫蝉または础辫辫厂别肠の取り组みに必要なものとなったと言えるでしょう。
2022年の翱厂厂搁础レポートの内容をさらに详しく知るには
Continue Reading
AI を活用したPolaris Assistでアプリケーションコードの修正を高速化
2024 OSSRA レポート:オープンソース?コンポーネントの古いコードのリスク
![[CyRC脆弱性勧告]CVE-2023-23846 Open5GS GTPライブラリのサービス拒否の脆弱性](https://images.synopsys.com/is/image/synopsys/cyrc-advisory-open5gs-gtp-library?ts=1697087353416&$responsive$)
