草榴社区

ニュースリリース - 2019年5月29日

シノプシスによる调査の结果、オープンソース?ソフトウェア利用にあたってのリスク管理は以前より向上しているものの、依然として多くの公司/団体にとって大きな课题であることが明らかに

1,200を超す商用アプリケーションやライブラリを调査した结果、それらの大半が、オープンソース?コードのセキュリティ?リスクやライセンス上の问题を抱えていると判明

 

2019年5月29日 東京発 - シノプシス(草榴社区.、Nasdaq上場コード:SNPS)は本日、

2019年オープンソース?セキュリティ&补尘辫;リスク分析(翱厂厂搁础)レポートを公表した。この報告書は、シノプシスのBlack Duck Audit Service部門が1,200を超す商用アプリケーションやライブラリを調査した結果をシノプシス Cybersecurity Research Center (颁测搁颁)が分析し所见をまとめたものである。オープンソース?ソフトウェア利用にあたってのトレンドやパターンが明らかとなり、同时にセキュリティ?リスクやライセンス上の问题を抱えたオープンソース?コンポーネントが依然として蔓延している実态が判明した。

 

报告书に示されている通り、过去にリスク管理上问题があると指摘されたオープンソース利用状况の多くは现在も継続している。一方で、调査データは注目すべき変化も示している。多くの公司/団体では、オープンソース?リスクの管理能力が强化されているという点である。市贩されているソフトウェア?コンポジション解析ソリューションに対する认识と习熟度の高まりが背景にあると思われる。

 

シノプシス Cybersecurity Research Center プリンシパル?セキュリティ?ストラテジスト Tim Mackeyは、次のように述べている。「近年のソフトウェアの開発と適用において、オープンソース?コンポーネントは極めて重要な役割を果たしています。しかし、その価値を真に活用するためには、そういったコンポーネントがセキュリティやライセンス?コンプライアンスの観点でどんな影響を及ぼすかを理解し対処できなければなりません。今回のOSSRAレポート 2019では、商用アプリケーションに組み込まれているオープンソースに対するリスク管理の現状がどうなっているかを概観できます。一言でいえば、大半のアプリケーションにはセキュリティ脆弱性とライセンス上の問題を抱えたオープンソースが含まれている、という重大な問題を引きずっている一方で、こうした状況が昨年に比べて減少しているという事実から、これらの問題には対処することが可能だということです」

 

OSSRAレポート 2019で明らかになったオープンソース?リスク?トレンドの中で注目すべきいくつかの点は、下記の通りである。

  • オープンソースの活用は大幅に増加している

    今回(2018年)调査対象となったコードベースの96%には、オープンソース?コンポーネントが组み込まれており、昨年はコードベースあたりのオープンソース?コンポーネント数が平均257であったのに対し、今年は298となっている。

  • ライセンス上の问题を持ったオープンソースが知的财产を危机に晒している

    コードベースの68%には、何らかのライセンス问题を抱えたオープンソースが组み込まれており、38%にはライセンス関係が不明确なオープンソースが含まれている。

  • “放置”状态のコンポーネントの利用が一般化している

    コードベースの85%には、开発から4年以上が経过した时代遅れのオープンソース?コンポーネントや、过去2年间一切手が加えられていないコンポーネントが组み込まれている。陈腐化し谁もメンテナンスしなくなったコンポーネントが意味するものは、そこに潜んでいるかもしれない脆弱性に谁も対処しようとしていないということである。

  • 多くの公司団体では、使用中のオープンソース?コンポーネントにパッチやアップデートを施していない

    今回の調査で明らかになった脆弱性の継続年数の平均値は6.6年で、昨年の調査から大幅に伸びている。これは、脆弱性対策のための努力が大幅には改善していないことを示している。コードベースの43%には、10年以上前に明らかになった脆弱性がそのまま残っていた。2018年に16,500以上の脆弱性がNational Vulnerability Databaseに新たに登録されていることを考え合わせると、情報漏洩の増加に対処するためにはパッチ?プロセスを加速しなければならないことは明らかである。

  • 脆弱性のレベルにはばらつきがあるが、公司/団体の多くは最もハイリスクな脆弱性にすら対処していない

 

今回の報告書から明らかになったのは、オープンソース?ソフトウェアの利用自体に問題があるわけではなく、それどころかオープンソースはソフトウェア?イノベーションにとっては欠かせないコンポーネントであるという点である。そしてその一方で、それらの活用によってもたらされるセキュリティ上ならびにライセンス上のリスクを特定し対処する努力を積極的に行わない場合は、企業/団体にとって非常に大きなダメージになり得るという点である。オープンソースがリスクファクターなのは確かであるが、米?信用情報会社 Equifax社の大規模データ漏洩事件以降、オープンソースが持つリスクに対する認識と市販のソフトウェア?コンポジション解析ソリューションの活用習熟度は高まっており、大きな改善につながっていることも今回の報告書から読み取ることができる。

 

  • オープンソースのセキュリティ脆弱性に対する公司/団体の対応能力は向上している

    コードベースの60%は少なくとも1つ以上の脆弱性を抱え込んでおり、これは依然として大きな割合ではあるものの、昨年の调査结果の78%からは大きく改善している。

  • オープンソースのライセンス?コンプライアンスの问题は全体的に见て改善されている

    コードベースの68%はライセンス上问题のあるコンポーネントを搭载しているが、昨年の74%からは改善されている

 

OSSRAレポート 2019の詳細は、下記より入手可能。

/ja-jp/software-integrity/resources/reports/2019-open-source-security-risk-analysis.html?cmp=pr-sig

 

シノプシス?ソフトウェア?インテグリティ?プラットフォームについて

シノプシスは、ソフトウェア?インテグリティ?プラットフォームを通じて、ソフトウェアのクオリティとセキュリティを向上させ、それらに関するリスクを開発期間の長期化や開発効率の低下を引き起こすことなく最小化するための最先端のソリューションを提供している。シノプシスはアプリケーション?セキュリティ?テストのリーディング?カンパニーとして高い評価を受けており、スタティック解析、ソフトウェア?コンポジション解析、ダイナミック解析のソリューションを提供している。これにより、ソフトウェア開発企業/団体が独自開発しているコード、用いているオープンソース?ソフトウェア、アプリケーション動作の中に潜む脆弱性や欠陥を短時間で特定/修正することが可能となる。业界をリードするツールならびにサービス、専門技術の組み合わせにより、ソフトウェア開発企業/団体がDevSecOps(開発とセキュリティ確保と運用の連携)プロセスやソフトウェア開発ライフサイクルを通じて最大限のセキュリティとクオリティを達成できるよう支援している企業はシノプシスのみである。

详细な情报は、/ja-jp/software-integrity.htmlより入手可能。

 

シノプシスについて

草榴社区.(Nasdaq上場コード:SNPS)は、我々が日々使用しているエレクトロニクス機器やソフトウェア製品を開発する先進企業のパートナーとして、半導体设计からソフトウェア開発に至る領域(Silicon to Software)をカバーするソリューションを提供している。電子设计自動化(EDA)ソリューションならびに半導体设计資産(IP)のグローバル?リーディング?カンパニーとして長年にわたる実績を持ち、ソフトウェア品質/セキュリティ?ソリューションの分野でも业界をリードしており、世界第15位のソフトウェア?カンパニーとなっている。シノプシスは、最先端の半導体を開発しているSoC(system-on-chip)设计者、最高レベルの品質とセキュリティが要求されるアプリケーション?ソフトウェアの開発者に、高品質で信頼性の高い革新的製品の開発に欠かせないソリューションを提供している。

详细情报は、/ja-jpより入手可能。

# # #

 

草榴社区は、草榴社区.の登録商標または商標です。

その他の商标や登録商标は、それぞれの所有者の知的财产です。

 

<お问い合わせ先>

 

日本シノプシス合同会社 フィールド?マーケティング?グループ 藤井 浩充

TEL: 03-6746-3940                  FAX: 03-6746-3941