草榴社区

ゾンビコードのリスクを低减するには保守が重要

ゾンビコード（あるいはデッドコード）とは、アプリケーションの機能に使用されなくなったか必要ではなくなったにも関わらず、コードベース内に残されているコードを指します。ゾンビ映画と同じように、ゾンビコードにはさまざまな種類があります（速いゾンビと遅いゾンビ、またはドラマ「THE LAST OF US」の菌類のゾンビと従来の「ナイト?オブ?ザ?リビング?デッド」のゾンビを思い出してください）。架空のアンデッドと同様に、ゾンビコードは予期せぬときに出現し、予期せぬ複雑な事態を引き起こす可能性があります。 オープンソースの利用に関して言えば、ゾンビコードの最も重大な危険は、悪用されやすくなった古いコードです。

組織がソフトウェアを開発しているか使用しているかにかかわらず、ほとんどのソフトウェアにはオープンソースが含まれています。2024年のOSSRA レポートによると、監査されたコードの96%にオープンソースが含まれていました。また、一部の業界（航空宇宙や通信を含む）では、コードベースの100%にオープンソースが含まれていました。また、多くの分野で、リスク評価されたコードベースのかなりの割合に高リスクの脆弱性が含まれており、その中には製造業では87%、IoTでは50%に含まれていました。

オープンソース?コンポーネントを更新しないことで、利用者がアプリケーションをこれらの脆弱性を悪用する可能性のある潜在的な攻撃にさらし、データ侵害やその他のセキュリティ问题につながる可能性があります。

リスク評価されたコードベースの91%が、現在のバージョンより大幅に古いオープンソースを使用していることが判明しており、OSSRA レポートでは、特に人気のあるオープンソース?コンポーネントに関しては、利用者自身がコードを最新の状態に保つため、より適切に取り組む必要があることを明らかにしていますが、これは、オープンソースの、古い脆弱なバージョンを使用すると、悲惨な結果が生じる可能性があるからです。たとえば、2024 年の OSSRA レポートで報告された上位10件の脆弱性のうち、第2位は、信頼できないコードの実行に使用される可能性のあるクロスサイト?スクリプティング（XSS）の脆弱性です。この問題は4年ほど前にjQuery 3.5.0でパッチが提供されたにも関わらず、OSSRA レポートのデータが示すように、セキュリティリスクをスキャンしたコードベースの3分の1では、脆弱性が悪用される可能性のあるjQuery の古いバージョンを使用していることが判明しました。

セキュリティの问题以外にも、古いオープンソースは全体的な技术的负债の原因となっており、バグやパフォーマンスの改善が見逃され、最終的には対処する必要がある互換性の問題も発生します。 時間の経過とともに、この技术的负债によりアプリケーションの保守がより困難になり、コストがかかるようになり、長期的な実行可能性や有効性が妨げられる可能性があります。 ゾンビ オープン ソースは、古いコンポーネントや非アクティブなコンポーネントのライセンス条項に関する説明やサポートを得ることが難しいため、ライセンス コンプライアンスに影響を与える可能性さえあります。

オープンソースの保守の実践を改善する3つのステップ

翱厂厂搁础レポートの调査结果に基づいて、オープンソースの保守の実践を改善し、ゾンビコードに関连するリスクを軽减するための措置を讲じることができます。

• 自动化ツールの実装：ソフトウェア?コンポジション解析（厂颁础）などの自动化ツールを使用することで、古いコンポーネントや脆弱性の特定が容易になります。翱厂厂搁础レポートが指摘しているように、特定のアプリケーションには平均して500を超えるオープンソース?コンポーネントが含まれており、これは自动化セキュリティ?テスト（础厂罢）の重要性を示すのに良い例です。大规模なソフトウェアに対する手动テストは、効率が悪く、网罗度の観点からも自动化されたテストが必要になります。手动プロセスとは异なり、自动化されたオープンソースのテストと管理は速やかに一贯して実行できることから、开発者はデリバリー?スケジュールや生产性に影响を与えることなく、开発プロセスの早い段阶で问题を特定することが可能になります。
• 定期的な更新サイクルの确立：オープンソース?コンポーネントを更新するための定期的な频度を确立することで、潜在的に脆弱な、古いゾンビコードが残存する可能性を低减することができます。特に频繁にメンテナによる活动が行われている、人気のあるプロジェクトのオープンソース?ライブラリを使用している场合は、定期的な更新の频度を设定することをお勧めします。
• ソフトウェア部品表 (SBOM) を作成、維持する：オープンソース?コンポーネントの正确で最新の厂叠翱惭は、コードの品质の高さ、コンプライアンス、安全性を确保するために重要です。包括的な厂叠翱惭には、アプリケーション内のすべてのオープンソース?コンポーネントと、それらのコンポーネントのライセンス、バージョン、パッチのステータスがリストされます。厂叠翱惭を自分で作成するためのリソースがない场合、または厂叠翱惭をすぐに作成する必要がある场合、シノプシスの厂叠翱惭サービスはソフトウェアのセキュリティ监査を実行し厂叠翱惭を生成できます。これは、监査済みの厂叠翱惭を生成、提供したい组织にとっては有用ですが、顾客または规制のコンプライアンスのためにベースライン厂叠翱惭が必要です。
  

ドラマや映画に登場するゾンビと同じように、たったひとつの、ゾンビのオープンソース?コンポーネントが意図しない脆弱性などのリスク源となり、大混乱を引き起こす可能性があることを忘れないでください。2024年のOSSRAレポートが示すように、開発、運用しているソフトウェアにオープンソースを導入している組織（文字通りすべての組織）は、ソフトウェア?サプライチェーン?リスク管理の一環として、オープンソースのメンテナンス?リスクを積極的に管理する必要があります。 時代遅れのオープンソース?コンポーネントをソフトウェアから排除することは、すべてのオープンソースの利用者の最優先事項である必要があります。最初にやるべき事は、オープンソースの保守の実践状況を検証して、改善が必要かどうかを確認することです。