最近のソフトウェア开発チームは、オープンソース?コンポーネントを使用して开発のスピードアップとコストの节约を実现し、コミュニティのイノベーションを活用しています。法律事务所やコンサルティング业界では、クライアント公司がオープンソースを使用しています。また、次の买収対象を洗い出す场合は、オープンソースを多用しているターゲット公司を评価します。厂测苍辞辫蝉测蝉の最新の「オープンソース?セキュリティ&リスク分析」(翱厂厂搁础)レポートでは、分析されたすべてのコードの78%が完全にオープンソースであることがわかりました。
オープンソース?コンポーネントが普及していることは周知されていますが、ソフトウェアライセンスの竞合、未知の依存関係、脆弱なコンポーネントの影响は过小评価されるか、见过ごされがちです。デジタル资产に含まれるオープンソースに起因する未解决の问题は、合併や买収(惭&补尘辫;础)に悪影响をもたらす可能性があります。合併?买収の契约に携わる场合は、影响の范囲を适切に把握し、取引を台无しにする可能性のある问题を軽减する责任があります。
オープンソース监査に留意する理由
効果的で実用的な监査への第一歩は、监査を行う理由を考えることです。监査の理由は、内部目的ですか?それともリソースが负债ではなく资产であることを証明するためですか?
多くの场合、差し迫った惭&补尘辫;础アクティビティが监査の契机となります。买い手は、法律、セキュリティ、品质上问题のない优良な资产を求め、売り手は、优良な资产であることを提示したいと考えます。买い手は、引き受けることになるリスクに适切に対処して、取引の価値を适切に评価し、取引を成立させたいと考え、买収対象公司が説明のつかない不可解な重荷を持ち込まないことを确认したいと思っています。また、买収対象公司がライセンスの范囲内でオープンソース?コンポーネントを使用していること、潜在的なサイバー攻撃ベクトルを最小限に抑えていること、一贯した稼働时间を确保できること、対象公司とその顾客のデータがセキュアであることを确认したいと考えています。
経営阵がオープンソースの脆弱性、エクスプロイト、侵害の可能性に関するニュースを目にしたことから、内部オープンソース监査を採用している组织もあります。オープンソース?ライセンス违反による知的财产のリスクを悬念しているチームもあります。组织の选択の动机によって、関与する担当者と目标が変わってきます。
监査に関与する担当者
デジタルトランスフォーメーションへの注目が高まるにつれ、开発とリリースのスピードアップへの期待が高まり、开発チームに大きな负担がかかります。その结果、より多くの时间をイノベーションに费やすことができるようにするため、基本的な机能をオープンソースに依存する倾向が高まっています。
コード監査の準備をする際は、开発チームが厳しい納期の中で可能な限り高品質のコードを作成する作業に専念していることを認識し、利用するオープンソース?コンポーネントに関連していることが多い複雑なライセンス条項を開発者が理解していると思い込まないことが重要です。同じことがセキュリティ脆弱性にも当てはまります。オープンソースの使用規模は、これらのタイプのリスクを手動で追跡する能力をはるかに超えるペースで拡大しています。
通常、上级管理职、法务部门、上级技术マネージャーがオープンソース?リスク管理に関連する戦略、ポリシー、プロセスの確認を担当しますが、开発チームによるオープンソース?ライブラリの使用を管理するための明確な方策が規定されているとは限りません。代替方法では納期に間に合わない可能性がある場合、开発チームは作業を遂行することに重点を置く傾向があります。
监査结果への対応方法
ソフトウェア监査は形态も规模も多种多様ですが、洞察に満ちた実用的な监査结果を得るためには、いくつかの考虑事项に対処する必要があります。
- コピーレフト?ライセンスおよびその他のライセンス义务
- ライセンスのないコード
- オープンソースのセキュリティ脆弱性
- オープンソースに伴う运用リスクと技术的负债
监査レポートでは、これらの领域に力点を置く必要があります。また、当事者は、経験豊富で个别の质问に明确に答えることができる监査人の立ち会いの下で、各项目をレビューする必要があります。监査で明らかになった结果は、惭&补尘辫;础に际しての事业评価と取引条件に重大な影响をもたらす可能性があるため、このステップは重要です。
たとえば、事业を展开している业界、アクセスするデータの机密性、ソフトウェアの方向性(外部向け/内部向け)などに応じたリスクレベルは、ライセンスによって异なります。セキュリティの脆弱性についても同じことが言えます。奥别产ベースのアプリケーションと组み込みアプリケーションとでは、受ける影响が异なる可能性があります。これらの考虑事项に関しては、监査グループによる専门的なアドバイスを受けることができます。
知识の活用方法
监査の结果は、何らかの変更が必要かどうかを判断するために役立ちます。监査によって期待通りの结果を得られることは稀です。2021年からセキュリティ监査の分析を行ったところ、スキャンされたアプリケーションの97%がオープンソースを使用しているにもかかわらず、公司は使用されているオープンソースの半分程度しか认识していないことがわかりました。分析対象のコードベースの大半に、ライセンスとセキュリティの问题があります。
オープンソース监査の出力结果によって、使用中のオープンソース?コードだけでなく、コード内の既知の脆弱性とライセンスコンプライアンスのリスクに関する明确な情报を得ることができます。この情报により、买収対象公司のコード内容を明确に把握でき、先に进む準备を整えるために役立ちます。
内部目的で独自开発のコードを评価することを目的とする场合、监査结果は、将来の开発业务に向けてオープンソース?リスク管理ポリシーを作成するための情报を提供します。惭&补尘辫;础またはデューデリジェンスのための监査では、监査结果は取引の価値とリスクを决定するために必要な极めて重要な情报を提供します。
オープンソース监査の必要性
オープンソース监査を行う一般的な理由として、合併?买収があります。オープンソースの使用とリスクの影响度に関する対象コードのスナップショットにより、买い手または売り手が取引を进めるために役立つ、喉から手が出るほど欲しい情报を得ることができます。买い手は、引き受ける可能性のあるリスクを可视化することができ、売り手は、デューデリジェンスの前に事前にリスクに対処する机会を得ることができます。买収取引を予定している场合は、Black Duck?監査サービスチームが取引进行方法の决定をお手伝いします。
Continue Reading
