Apache Strutsを組み込んだ調査対象のコードベースの1/3は、Equifax社の大規模データ流出事件を引き起こす原因となった脆弱性を抱えていることが判明
2018年5月15日 カリフォルニア州マウンテンビュー発 - シノプシス(草榴社区.、Nasdaq上場コード:SNPS)は本日、シノプシスBlack Duckグループによる調査報告書 を公表した。この報告書は、匿名データ化した1,100以上の商用コードベース(2017年時点)の調査結果の分析ならびに所見をまとめたものである。対象となった业界は、車載システム関連、ビッグデータ関連、サイバーセキュリティ関連、エンタープライズ?ソフトウェア、金融サービス、医療関連、IoT関連、製造関連、モバイルアプリ関連である。
目を引くのは、オープンソース?ソフトウェア利用の大幅な増加で、オープンソース?コンポーネントが组み込まれているプログラムは调査対象のアプリケーション全体の96%に上ることが明らかとなった。调査対象となったコードベース(257)に含まれているオープンソース?コンポーネントの平均数は、昨年比で75%の増加となっており、多くのアプリケーションでオープンソースの构成比が自社开発コードよりも高くなった。悬念されるのは、调査したコードベースの78%から少なくとも1つ以上のオープンソース?セキュリティ脆弱性が検出され、コードベースあたり平均で64个もの脆弱性が认められたことである。コードベースに潜む脆弱性の54%以上は、(共通脆弱性评価システム颁痴厂厂において)ハイリスクと分类されている脆弱性と考えられる。またコードベースの70%からは、贬别补谤迟产濒别别诲、尝辞驳箩补尘、贵谤别补办、顿谤辞飞苍、笔辞辞诲濒别といった広く报道された脆弱性が検出された。
シノプシス Black Duckグループ テクニカル?エバンジェリスト Tim Mackeyは、次のように述べている。「現在のソフトウェアや開発基盤は、オープンソース?テクノロジに大きく依存しており、使用しているオープンソース?コンポーネントの内容を明確に理解しておくことはコーポレート?ガバナンスにとって重要です。今回の報告書から明らかになったのは、オープンソース?ソフトウェア活用の拡大に伴い、それらのコンポーネントに含まれている脆弱性を検出でき、かつ、使っているオープンソースで規定されているライセンス?コンプライアンスに反していないかどうか管理できるツールを活用しているかどうかを開発企業/団体は確認しておく必要があるという点です」
脆弱なオープンソース?コンポーネントは、あらゆる业界で散見される。インターネットやソフトウェア?インフラの业界では、ハイリスクなオープンソース?セキュリティ脆弱性を抱え込んでいるアプリケーションの比率が67%と最高レベルに達している。皮肉な現象だが、サイバーセキュリティ业界で使われているアプリケーションでも、実に41%がオープンソース脆弱性を持っていることが分かった。リスクレベルとしては业界別にみると4番目に位置する。
さらに、Apache Strutsを組み込んだ調査対象のコードベースのうち33%は、Equifax社*の大规模データ流出事件を引き起こす原因となった脆弱性を抱えていることも判明した。これは、公司団体が、自社のコードベース内にますます多くの脆弱性を积み上げつつあることを示している。今回の调査で特定された脆弱性は、平均で6年前に公になったものであることも分かった。
* Equifax社:米国の消費者信用情報会社であり、 TransUnion、エクスペリアンと並ぶ三大信用情報会社である。その中でもEquifaxは創業最古(1899年)であり、世界で4億人のクレジットスコアを保有している。
シノプシスのBlack Duckプロダクト?マーケティング?マネージャーであり今回のOSSRAレポートの責任者でもあるEvan Kleinは、次のように述べている。「Equifax社がApache Strutsの脆弱性が原因で大規模な個人情報漏洩に見舞われた際、オープンソースのセキュリティ対策の必要性は大々的に取り上げられました。この事件は2017年の3月に明らかになったにも関わらず、どうやら未だに多くの企業/団体では、自社のアプリケーションにApache Strutsの脆弱性が潜んでいないかどうかのチェックが行われていないようです」
報告書では、コードベースの74%が何らかのライセンス違反を抱えていることも明らかになっている。もっとも多いのがGPL形式に対するライセンス違反である。コードの中にオープンソース?ライセンス違反が含まれている率で、比較的低かったのは小売/Eコマース业界のアプリケーションの61%、最も高かったのはテレコミュニケーションならびにワイヤレス业界で、調査したコードの実に100%がライセンス違反を包含していたことも分かった。
翱厂厂搁础レポートの详细は、下记より入手可能。
シノプシス?ソフトウェア?インテグリティ?プラットフォームについて
シノプシスは、ソフトウェア?インテグリティ?プラットフォームを通じて、ソフトウェアのクオリティとセキュリティを向上させ、それらに関するリスクを開発期間の長期化や開発効率の低下を引き起こすことなく最小化するための最先端のソリューションを提供している。シノプシスはアプリケーション?セキュリティ?テストのリーディング?カンパニーとして高い評価を受けており、静的解析、ソフトウェア?コンポジション解析、動的解析のソリューションを提供している。これにより、ソフトウェア開発企業/団体が独自開発しているコード、用いているオープンソース?ソフトウェア、アプリケーション動作の中に潜む脆弱性や欠陥を短時間で特定/修正することが可能となる。业界をリードするツールならびにサービス、専門技術の組み合わせにより、ソフトウェア開発企業/団体がDevSecOpsプロセスやソフトウェア開発ライフサイクルを通じて最大限のセキュリティとクオリティを達成できるよう支援している企業はシノプシスのみである。
详细な情报は、/ja-jp/software-integrity.htmlより入手可能。
シノプシスについて
草榴社区.(Nasdaq上場コード:SNPS)は、我々が日々使用しているエレクトロニクス機器やソフトウェア製品を開発する先進企業のパートナーとして、半導体设计からソフトウェア開発に至る領域(Silicon to Software)をカバーするソリューションを提供している。電子设计自動化(EDA)ソリューションならびに半導体设计資産(IP)のグローバル?リーディング?カンパニーとして長年にわたる実績を持ち、ソフトウェア品質/セキュリティ?ソリューションの分野でも业界をリードしており、世界第15位のソフトウェア?カンパニーとなっている。シノプシスは、最先端の半導体を開発しているSoC(system-on-chip)设计者、最高レベルの品質とセキュリティが要求されるアプリケーション?ソフトウェアの開発者に、高品質で信頼性の高い革新的製品の開発に欠かせないソリューションを提供している。
详细な情报は、より入手可能。
# # #
草榴社区は、草榴社区.の登録商標または商標です。
その他の商标や登録商标は、それぞれの所有者の知的财产です。
<お问い合わせ先>
日本シノプシス合同会社 フィールド?マーケティング?グループ 藤井 浩充
TEL: 03-6746-3940 FAX: 03-6746-3941