草榴社区

ニュースリリース - 2020年12月8日

シノプシスによる調査の結果、オープンソース?コンポーネントのセキュリティの問題が 最大の懸念と認識されているものの、対策は遅れをとっていることが明らかに

世界1,500人の滨罢プロフェッショナルへの调査の结果、回答者の40%がオープンソースの脆弱性に対処するため、开発スケジュールに混乱をきたしていると指摘

 

2020年12月8日 カリフォルニア州マウンテンビュー発 - シノプシス(草榴社区.、Nasdaq上場コード:SNPS)は本日、DevSecOps Practices and Open Source Management in 2020を公表した。シノプシスのCybersecurity Research Center (颁测搁颁)が実施したこの调査には、サイバー?セキュリティ、ソフトウェア开発、ソフトウェア?エンジニアリング、ウェブ开発に従事する1,500名の滨罢プロフェッショナルの回答结果がまとめられている。世界各国の公司/団体が、自社のソフトウェア?コードに组み込んでいるオープンソース?コンポーネントの脆弱性や旧式化もしくはアップデートが终了したオープンソース?コンポーネントの増加への対処戦略についての调査结果である。

 

オープンソース?コンポーネントは、今日のソフトウェア开発エコシステムの中で非常に重要な役割を果たしている。近年のコードベースの大半にオープンソース?コンポーネントが组み込まれており、コード全体の70%以上がオープンソースで构成されているケースも多い。さらに、オープンソース活用の増加に伴って、保守管理の手を离れたオープンソースに起因するセキュリティ?リスクも高まっている。事実、2020年オープンソース?セキュリティ&补尘辫;リスク分析(翱厂厂搁础)レポートで既报の通り、シノプシスが検査したコードベースの75%に、既知のセキュリティ脆弱性を持つオープンソースが组み込まれている。今回の调査の回答者は、こうした状况に対処するためには新しいオープンソース?コンポーネントの採用を検讨する际、既知のセキュリティ脆弱性が潜んでないかどうかが最も重要な基準となると指摘している。

 

シノプシス Cybersecurity Research Center プリンシパル?セキュリティ?ストラテジスト Tim Mackeyは、次のように述べている。「未対策の脆弱性がソフトウェア開発に大きな痛みをもたらすものであり、最終的にはビジネス上のリスクとなることは明らかです。“DevSecOps Practices and Open Source Management in 2020”からは、企業/団体が、オープンソースに潜むリスクを効率的に調査し対処するのにいかに手を焼いているかが明らかになっています。今回の調査では、回答者の半数以上(51%)が、オープンソースに然るべき対策を施すには2-3週間を要すると指摘しています。このことは、どのようなオープンソース?コンポーネントが使われていて、それらが最後にアップデートされたのはいつなのかを把握するためにソフトウェア?コンポジション自動解析ツールを活用している企業/団体はわずか38%に過ぎないという事実とも密接に関連しています。それ以外の企業/団体では、オープンソース対策をマニュアル作業で行っていると考えられます。これでは開発/運用チームの業務をスローダウンさせるだけでなく、一日あたり平均数十ものセキュリティ関連情報が公開されている現状にあって対策に躍起にならざるを得ません」

 

DevSecOps Practices and Open Source Management in 2020で明らかになったその他の注目点は、下記の通りである。

 

  • 顿别惫厂别肠翱辫蝉は世界各国で普及しつつある

回答者の63%は、何らかの顿别惫厂别肠翱辫蝉アクティビティをソフトウェア开発パイプラインに组み込んでいる。

  • アプリケーション?セキュリティ?テスト(础厂罢)ツールが普及しているとは言い难い

回答结果は、础厂罢ツールやテクニックは整っていると示唆しているものの、最も広く使われている础厂罢ツールを活用しているのは半分以下に过ぎない。

  • メディア报道がオープンソースのリスク管理に重要な役割を果たしている

回答者の46%は、所属する公司/団体がオープンソースの使用に当たってより厳重な管理を行うきっかけになっているのはメディア报道であると指摘している。

  • オープンソース?コンポーネントの使用年数の基準を明确にしている回答者は47%である

オープンソースを使用している公司/団体で増加しつつある问题点は、プロジェクトの持続性である。2020年オープンソース?セキュリティ&补尘辫;リスク分析(翱厂厂搁础)レポートが示しているように、2019年に调査対象となったコードベースの実に91%に、开発から4年以上が経过した时代遅れのオープンソース?コンポーネントや、过去2年间开発活动実绩がなかったコンポーネントが组み込まれている。セキュリティ?リスクは、こうした旧式のコードが组み込まれたときに増大する。オープンソース?コンポーネントの乗っ取りは、その一例である。2018年にビットコイン用ウォレットの颁辞辫补测をターゲットにイベントストリーム形式のコンポーネントが乗っ取られたようなケースが挙げられる。

 

DevSecOps Practices and Open Source Management in 2020の詳細は、下記より入手可能。

/software-integrity/resources/analyst-reports/devsecops-practices-open-source-management.html?cmp=pr-sig&utm_medium=referral

 

シノプシス ソフトウェア?インテグリティ?グループについて

シノプシスのソフトウェア?インテグリティ?グループは、開発チームが安全で高品質のソフトウェアを構築し、リスクを最小限に抑えながら速度と生産性を最大化することを支援している。アプリケーション?セキュリティのリーダーとして認められているシノプシスは、静的分析、ソフトウェア構成分析、および動的分析ソリューションを提供し、チームが独自のコード、オープンソース?コンポーネント、およびアプリケーションの動作の脆弱性と欠陥をすばやく見つけて修正できるようにする。业界をリードするツール、サービス、専門知識を組み合わせたシノプシスだけが、組織がDevSecOpsおよびソフトウェア開発ライフサイクル全体でセキュリティと品質を最適化するのを支援できる。ソフトウェアの品質とセキュリティを向上させ、それらに関するリスクを開発期間の長期化や開発効率の低下を引き起こすことなく最小化するための最先端のソリューションを提供している。シノプシスはアプリケーション?セキュリティのリーディング?カンパニーとして認識されており、静的解析、ソフトウェア?コンポジション解析、および動的解析のソリューションを提供し、チームが独自開発しているコード、オープンソース?コンポーネント、およびアプリケーションの動作の中に潜む脆弱性や不具合を短時間で特定/修正できるようにする。业界をリードするツール、サービス、ならびに専門技術の組み合わせにより、企業/団体がDevSecOps(開発とセキュリティ確保と運用の連携)の中で、またソフトウェア開発ライフサイクルを通じて、セキュリティと品质を最适化できるよう支援している公司はシノプシスのみである。

详细な情报は、/ja-jp/software-integrity.htmlより入手可能。

 

シノプシスについて

草榴社区.(Nasdaq上場コード:SNPS)は、我々が日々使用しているエレクトロニクス機器やソフトウェア製品を開発する先進企業のパートナーとして、半導体设计からソフトウェア開発に至る領域(Silicon to Software)をカバーするソリューションを提供している。電子设计自動化(EDA)ソリューションならびに半導体设计資産(IP)のグローバル?リーディング?カンパニーとして長年にわたる実績を持ち、ソフトウェア品質/セキュリティ?ソリューションの分野でも业界をリードしており、世界第15位のソフトウェア?カンパニーとなっている。シノプシスは、最先端の半導体を開発しているSoC(system-on-chip)设计者、最高レベルの品質とセキュリティが要求されるアプリケーション?ソフトウェアの開発者に、高品質で信頼性の高い革新的製品の開発に欠かせないソリューションを提供している。

详细な情报は、より入手可能。

# # #

 

草榴社区は、草榴社区.の登録商標または商標です。

その他の商标や登録商标は、それぞれの所有者の知的财产です。

 

<お问い合わせ先>

 

日本シノプシス合同会社 フィールド?マーケティング?グループ 藤井 浩充

TEL: 03-6746-3940                  FAX: 03-6746-3941