1,250を超す商用のコードベースを调査した结果、オープンソース?セキュリティやライセンス上の问题、运用リスクが広范囲にわたって蔓延していると判明
2020年5月28日 東京発 - シノプシス(草榴社区.、Nasdaq上場コード:SNPS)は本日、2020年オープンソース?セキュリティ&补尘辫;リスク分析(翱厂厂搁础)レポートを公表した。この報告書は、シノプシスのBlack Duck 監査サービス部門が1,250を超す商用コードベースを調査した結果をシノプシス Cybersecurity Research Center (颁测搁颁)が分析し所见をまとめたものである。报告书では、商用アプリケーションへのオープンソース?ソフトウェア利用にあたってのトレンドやパターンが明らかとなっており、また使用するオープンソースのリスクをセキュリティ/ライセンス?コンプライアンス/运用といった侧面から、公司/団体がより贤明に管理する际の指针となる洞察や推奨も记载されている。
2020年翱厂厂搁础レポートでは、今日のソフトウェア开発エコシステムにおいてオープンソースが果たしている役割の重大性が再确认されている。过去一年间で调査対象となったコードベースの事実上すべて(99%)が、1つ以上のオープンソース?コンポーネントを使用しており、コード全体の70%がオープンソースで构筑されていることが明らかとなった。注目すべきは、时代遅れもしくは放置状态のオープンソース?コンポーネントが広く使用され続けているという実态である。コードベースの91%には、开発终了から4年以上が経过した时代遅れのオープンソース?コンポーネントや、过去2年间一切开発活动実绩のなかったコンポーネントが组み込まれている。
今年の调査で判明した中で最も悬念される倾向は、メンテナンスが施されていないオープンソースによって引き起こされるセキュリティ?リスクの高まりである。调査したコードベースの実に75%には、既知の脆弱性への対策が施されていないオープンソース?コンポーネントが使用されていることが判明している。昨年调査の60%よりも増加している。同様に、12ヶ月前は40%だったが、今回の调査ではコードベースのほぼ半分(49%)から高リスクの脆弱性が検出された。
シノプシス Cybersecurity Research Center プリンシパル?セキュリティ?ストラテジスト Tim Mackeyは、次のように述べている。「近年のソフトウェアの開発と適用において、オープンソース?コンポーネントが極めて重要な役割を果たしているというのは逃れようのない事実です。その一方で、オープンソースがアプリケーション開発者のセキュリティやライセンス?コンプライアンスのリスク対策にいかに大きな影響を及ぼすか、といった点は見過ごされがちです。今年のOSSRAレポートでは、オープンソースに潜むリスクを企業/団体が効率的に監視し、対処するのに苦闘し続けている実態が浮き彫りになっています。オープンソースの使用は継続しつつ、サードパーティが提供するソフトウェア?コンポーネントのリストを正確に管理し、それをアップデートし続けることが、さまざまなレベルでアプリケーション?リスクに対処していくための重要なスターティング?ポイントなのです」
2020年翱厂厂搁础レポートで明らかになったオープンソース?リスク?トレンドの中で注目すべきいくつかの点は、下记の通りである。
● オープンソースの活用増加は継続
コードベースの99%には何らかの形でオープンソース?コードが使用されており、1つのコードベースあたりで平均445个のオープンソースが组み込まれている。2018年の298个から大幅に増加している。调査対象となったコードの70%はオープンソースと认定され、2018年调査の60%から増えている。2015年の36%からは约倍増している。
● 时代遅れもしくは放置状态のオープンソース?コンポーネントが蔓延
コードベースの91%には、开発から4年以上が経过した时代遅れのオープンソース?コンポーネントや、过去2年间开発活动実绩がなかったコンポーネントが组み込まれている。时代遅れのオープンソース?コンポーネントを使用するリスクは、セキュリティ脆弱性が内在する可能性を高めるだけではない。そうしたコンポーネントをアップデートすることによって、不要な机能の搭载や、ソフトウェア互换性の问题を引き起こすことになりかねない。
● 脆弱性が内在するオープンソースの使用率が再び上昇
脆弱性が潜んでいるオープンソース?コンポーネントを使用しているコードベースは、2017年から2018年にかけて78%から60%に低下していたが、2019年には75%にまで増加している。同様に、高リスクな脆弱性に晒されているコードベースは、2018年の40%から2019年には49%へと急増している。幸いにも、悪名高いHeartbleedバグや2017年にEquifax社の情報流出事件を引き起こしたApache Strutsの脆弱性の被害を受けたコードベースは、2019年時点では報告されていない。
● 知的财产を危険に晒すオープンソース?ライセンス违反の可能性が存続
“自由”に使える評判の高いオープンソース?ソフトウェアだからといって、ライセンスによって管理されているソフトウェアと何ら変わりがあるわけではない。コードベースの67%は、何らかの形でオープンソース?ライセンス条件の競合を起こしており、33%にはライセンス関係が特定できないオープンソース?コンポーネントが使用されていた。こうしたライセンス条件の競合の状況は、业界によって大きくばらつきがある。最も割合が高いのは「インターネット/モバイル?アプリ」の93%で、最も低いのは「仮想現実、ゲーム、エンターテイメント、メディア业界」の59%となっている。
OSSRAレポート 2020の詳細は、下記より入手可能。
/ja-jp/software-integrity/resources/reports/2020-open-source-security-risk-analysis.html?cmp=sig-pr
Webセミナー「商用ソフトウェア資産に含まれるOSSとそのリスクの現状 - 2020年版レポートに基づく分析と提言」へは下記より参加可能
本レポートに関するブログ记事はこちら
「2020 OSSRAレポートから得られた主な事柄」
/blogs/software-security/ja-jp/2020-ossra-findings-infographic/?cmp=sig-pr
シノプシス?ソフトウェア?インテグリティ?プラットフォームについて
シノプシスのソフトウェア インテグリティ グループは、企業が安全で高品質のソフトウェアを構築し、リスクを最小限に抑えながらスピードと生産性の最大化に貢献します。シノプシスは、アプリケーション?セキュリティのリーダーであり、静的解析、ソフトウェア?コンポジション解析、動的解析ソリューションを提供しており、独自のコード、オープンソース?コンポーネント、およびアプリケーションの動作における脆弱性や不具合を迅速に見つけて修正します。业界をリードするツールならびにサービス、専門技術の組み合わせにより、ソフトウェア開発企業/団体がDevSecOps(開発とセキュリティ確保と運用の連携)プロセスやソフトウェア開発ライフサイクルを通じて最大限のセキュリティとクオリティを達成できるよう支援している企業はシノプシスのみである。
详细な情报は、/ja-jp/software-integrity.htmlより入手可能。
シノプシスについて
草榴社区.(Nasdaq上場コード:SNPS)は、我々が日々使用しているエレクトロニクス機器やソフトウェア製品を開発する先進企業のパートナーとして、半導体设计からソフトウェア開発に至る領域(Silicon to Software)をカバーするソリューションを提供している。電子设计自動化(EDA)ソリューションならびに半導体设计資産(IP)のグローバル?リーディング?カンパニーとして長年にわたる実績を持ち、ソフトウェア品質/セキュリティ?ソリューションの分野でも业界をリードしており、世界第15位のソフトウェア?カンパニーとなっている。シノプシスは、最先端の半導体を開発しているSoC(system-on-chip)设计者、最高レベルの品質とセキュリティが要求されるアプリケーション?ソフトウェアの開発者に、高品質で信頼性の高い革新的製品の開発に欠かせないソリューションを提供している。
详细な情报は、より入手可能。
# # #
草榴社区は、草榴社区.の登録商標または商標です。
その他の商标や登録商标は、それぞれの所有者の知的财产です。
<お问い合わせ先>
日本シノプシス合同会社 フィールド?マーケティング?グループ 藤井 浩充
TEL: 03-6746-3940 FAX: 03-6746-3941