现代のソフトウェア开発に、オープンソース?コンポーネントの使用は避けられません。
最新の試算によると、非常に小さなアプリケーションを除けば、アプリケーション全体の99%にオープンソースのコンポーネントが含まれています。あなたのアプリケーションがその他の1%に含まれる確率はどれくらいでしょうか? あなたが個人資産ランキングでトップ1%に含まれるよりも小さな確率です。
あなたはたぶんオープンソースを使用していると思われます。さて、厂测苍辞辫蝉测蝉&苍产蝉辫;Cybersecurity Research Center (CyRC)により今週公开された年次レポート「2019年オープンソースのセキュリティおよびリスク分析 (OSSRA)レポート」の调査では、オープンソースのトレンドについて検讨しています。颁测搁颁は、厂测苍辞辫蝉测蝉の専门知识、技术、イニシアチブ、リソースを、より広いセキュリティ、开発者、顿别惫厂别肠翱辫蝉のコミュニティの利益に役立てようという活动です。
2019年版翱厂厂搁础レポートによって明らかになったオープンソースのトレンドをいくつか绍介します。
オープンソースは以前にも増して遍在している
17の产业を扱った今年のレポートでは、监査の対象となった平均的なコードベースに298のオープンソース?コンポーネントが含まれていました。この値は2017年より16%アップしています。レポートは、オープンソースの普及が进んでいる様子をさらに深く掘り下げています。
リスクの主なカテゴリーは2つ
翱厂厂搁础レポートに记载されたとおり、オープンソースの使用が遍在化した现在でも多くのチームは依然としてこの潜在的なマイナス面に対応するための适切な対策を取っていません。オープンソースの利用がどのようにして、より多くのリスクとコンプライアンスの问题を招くのかについてこれから説明します。
セキュリティ、脆弱性、パッチの影响は过小评価されている
オープンソース?ソフトウェアそれ自体は、プロプライエタリや商用オフザシェルフ(颁翱罢厂)パッケージよりもリスクが大きいということはありません。本当のリスクは、组织がそれについてトラッキングと管理をする(またはしない)方法にあります。これには、セキュリティ?パッチが配布される方法や、オープンソースの脆弱性がどのようにモニタリングされて修正されるか、そして、どの程度の信頼性がある方法で、组织は使用中のオープンソース?コンポーネントをトラッキングしているかが含まれています。
Equifaxはおそらくこの問題の最も明白で純然たる例でしょう。2017年に起きたこの大手消費者信用情報会社の破滅的な情報漏洩は、オープンソースのwebアプリケーション?フレームワークであるApache Strutsの脆弱性に対するパッチ適用を怠った結果です。彼らはセキュリティ警告に気付いたのでしょうか? 気付いていましたが、アプリケーションにパッチを適用していませんでした。自分たちがApache Strutsを使用しているという事実を把握していなかったからです。
みなさんのコードの中にはたぶんパッチが适用されていないオープンソースの脆弱性が含まれています。
しかしそれはあなただけではありません。2018年に监査を受けたアプリケーションのうち脆弱性があるのは60%でした。これは2017年の78%からの顕着な改善です。その种のリスクを回避する方法は、使用中のオープンソース?コンポーネントをトラッキングして管理する自动ソリューションを使用することです。それは(真実ではありますが)决まり文句のように响くかもしれません。しかし、使用していることを知らなければパッチを适用することはできません。
リスクを最小化するには现在の行动を変えることが必要
オープンソースのトレンドを単に知るだけでは十分でないことは明らかです。他の组织がどのようにしているのかを知ることは正しい方向への第一歩です。しかし、オープンソースの利点を理解してマイナス面を避ける最高の方法は、セキュリティとライセンスのリスクを軽减できるようにオープンソース?ソフトウェアのすべてをトラッキングすることです。
Continue Reading
AI を活用したPolaris Assistでアプリケーションコードの修正を高速化
2024 OSSRA レポート:オープンソース?コンポーネントの古いコードのリスク
![[CyRC脆弱性勧告]CVE-2023-23846 Open5GS GTPライブラリのサービス拒否の脆弱性](https://images.synopsys.com/is/image/synopsys/cyrc-advisory-open5gs-gtp-library?ts=1697087353416&$responsive$)
