12万超のアプリケーション?ソフトウェアを対象にした调査で使用されているサードパーティー?ソフトウェア?コンポーネントの半分以上が旧バージョンであることが判明
2017年6月6日 カリフォルニア州マウンテンビュー発 - シノプシス(草榴社区.、狈补蝉诲补辩上场コード:)は本日、“The State of Software Composition 2017” と題する調査レポートを公表した。この調査は、ソフトウェア開発业界が直面している最もクリティカルな課題のひとつであるソフトウェア?サプライチェーンに潜むセキュリティの実態を明らかにする目的で実施したもので、調査レポートは現在用いられているソフトウェアの解析結果をまとめたものである。128,782のソフトウェア?アプリケーションを解析した結果、それらに含まれているオープンソースもしくは有料のソフトウェア?コンポーネントのうち16,868個から、約10,000種に及ぶセキュリティ脆弱性が検出された。
シノプシスでは、自社のソフトウェア?コンポジション解析ツールProtecode? SCを用いて、2016年1月1日から同年12月31日にかけて抽出したアプリケーション?ソフトウェアを解析した。その结果、これらのアプリケーションの中に含まれていたサードパーティー?ソフトウェア?コンポーネントの约50%は、开発されてから4年以上が経过していることが判明し、その内ほとんどのコンポーネントは既にセキュリティが改善されたバージョンがリリースされていることも明らかとなった。
シノプシス ソフトウェア?インテグリティ?グループ 上級副社長兼ジェネラルマネージャー Andreas Kuehlmannは、次のように語っている。「当社では、膨大なデータを解析して傾向と問題点の洗い出しを進めた結果を受けて、ソフトウェア開発业界に従事する皆様が今後そのソフトウェアをセキュリティを強化したものにアップデートしていくにあたって非常に有益な情報をご提供しています。サードパーティー?ソフトウェア?コンポーネントに潜んでいる脆弱性は、ある程度の期間が経過しなければ特定/報告されないため、その間セキュアと思われていたソフトウェア?パッケージがセキュリティ上の危険にさらされることとなります。我々は、オープンソース?ソフトウェアを使うのが良くないと申し上げているのは無く、緊張感を持ってソフトウェアのアップデートを続け、外部からの攻撃に対処することが大事だということです」
今回の調査は、モバイル、デスクトップならびにWebアプリケーション、多业界で使用されているファームウェアや組込みソフトウェアなど、さまざまなジャンルのソフトウェアを対象に実施されている。調査報告に含まれている情報は、最も一般的に用いられているサードパーティー?ソフトウェア?コンポーネント、それらのコンポーネントに関連する共通脆弱性識別子(CVE:Common Vulnerabilities and Exposures)、CVEを0.0~10.0の値で評価する共通脆弱性評価システム(CVSS:Common Vulnerability Scoring System)、脆弱性の種類を分類した共通脆弱性タイプ一覧(CWE:Common Weakness Enumeration)である。
その他の主要结果
シノプシス セキュリティ?ストラテジスト Robert Vamosiは、次のように語っている。「つい先月ランサムウェア WannaCryが世界中で猛威を振るったばかりですが、今回の調査結果は全ての人がソフトウェアの最もセキュアなバージョンを使っているわけではないという実態に対して警鐘を鳴らすものとなりました。アップデート?プロセスはソフトウェアのリリース時に終了しているわけではなく、その製品が使われ続ける限り継続して実行されなければなりません。CVEはオープンソース?ソフトウェア?コンポーネントに対しても公開されているのですから、開発者は自身のソフトウェアにそうしたものが含まれていないかどうかチェックする必要がありますし、組織には最新バージョンが公開された時点で適用し、脆弱性を抱え込んだままにしないようにする必要があります」
调査报告の全容は下记サイトよりダウンロード可能。
/蝉辞蹿迟飞补谤别-颈苍迟别驳谤颈迟测/谤别蝉辞耻谤肠别蝉/补苍补濒测蝉迟-谤别辫辞谤迟蝉/蝉迟补迟别-辞蹿-蝉辞蹿迟飞补谤别-肠辞尘辫辞蝉颈迟颈辞苍-2017.丑迟尘濒
シノプシス?ソフトウェア?インテグリティ?プラットフォームについて
シノプシスは、ソフトウェア?インテグリティ?プラットフォームを通じて、ソフトウェアのクオリティとセキュリティを向上させるための最先端ソリューションとサービスを提供している。この各种の解析/テスト自动化テクノロジを搭载した包括的な开発プラットフォームは、ソフトウェア开発プロセスにシームレスに组み込むことができ、ソフトウェア开発者は、品质に影响を及ぼす欠陥、セキュリティ脆弱性、コンプライアンス上の问题点などをソフトウェア开発ライフサイクルの初期段阶で検知/修正し、ソフトウェア?サプライチェーンを通じてセキュリティ问题を可视化し対策を施すことが可能となる。
シノプシスについて
草榴社区.(Nasdaq上場コード:SNPS)は、我々が日々使用しているエレクトロニクス機器やソフトウェア製品を開発する先進企業のパートナーとして、半導体设计からソフトウェア開発に至る領域(Silicon to Software)をカバーするソリューションを提供している。電子设计自動化(EDA)ソリューションならびに半導体设计資産(IP)のグローバル?リーディング?カンパニーとして長年にわたる実績を持ち、ソフトウェア品質/セキュリティ?ソリューションの分野でも业界をリードしており、世界第15位のソフトウェア?カンパニーとなっている。シノプシスは、最先端の半導体を開発しているSoC(system-on-chip)设计者、最高レベルの品質とセキュリティが要求されるアプリケーション?ソフトウェアの開発者に、高品質で信頼性の高い革新的製品の開発に欠かせないソリューションを提供している。詳細な情報は、/ja-jpより入手可能。
# # #
草榴社区は、草榴社区.の登録商標または商標です。
その他の商标や登録商标は、それぞれの所有者の知的财产です。
<お问い合わせ先>
日本シノプシス合同会社 フィールド?マーケティング?グループ 藤井 浩充
TEL: 03-6746-3940 FAX: 03-6746-3941