1,500を超す商用のコードベースを調査した結果、オープンソースに潜むセキュリティやライセンス上の問題、メンテナンス上の問題があらゆる业界で蔓延していると判明
2021年5月21日 東京発 - シノプシス(草榴社区.、Nasdaq上場コード:SNPS)は本日、2021年 オープンソース?セキュリティ&リスク分析(OSSRA)レポートOpen Source Security and Risk Analysis (OSSRA)を公表した。この報告書は、シノプシスのBlack Duck 監査サービス部門が1,500を超す商用コードベースを調査した結果をシノプシス Cybersecurity Research Center (颁测搁颁)が分析し所见をまとめたものである。报告书では商用アプリケーションへのオープンソース?ソフトウェア利用にあたってのトレンドが明らかとなっており、商用アプリケーションやオープンソース?ソフトウェアの开発者が相互に连携したソフトウェア?エコシステムの现状を、よりよく理解するための指针となる洞察も记载されている。また、适切な管理がなされていないオープンソースによって引き起こされるリスクについても详しく解説されている。セキュリティ脆弱性がある、时代遅れである、放置状态であるといった问题や、ライセンス?コンプライアンス违反といった问题である。
2021年OSSRAレポートでは、オープンソース?ソフトウェアがあらゆる业界にわたって使われている大多数のアプリケーションの根幹を担っている事実が確認されている。またこうした业界では、程度の差こそあれオープンソースがもたらすリスクへの対処に苦慮している事実も明らかとなった。
より深刻な悬念は、放置状态になったオープンソース?コンポーネントの使用が蔓延していることである。忧虑すべきことに、コードベース全体の91%には、过去2年间一切开発活动実绩のなかったコンポーネント、すなわちコードの改善や脆弱性の修正が何ら施されてこなかったオープンソース依存ファイルが组み込まれている。
シノプシス Cybersecurity Research Center プリンシパル?セキュリティ?ストラテジスト Tim Mackeyは、次のように述べている。「90%を超すコードベースで過去2年間一切開発活動実績のなかったオープンソースが使用されているという事実に驚きはありません。ベンダーからユーザーに情報提供がなされる商用ソフトウェアとは異なり、オープンソースの健全性は開発者コミュニティの関与の度合いに依存します。開発者コミュニティによるアップデートがないままオープンソースが商用ソフトウェアに組み込まれた場合、オープンソースに依存した開発プロジェクトの生命力はいとも簡単に崩れ去ります。管理者不在となったプロジェクトの存在は目新しいものではありませんが、セキュリティの課題に対処するとなると、問題は深刻化します。解決策はシンプルです。成功を確かなものとするためには、皆さんが依存しているオープンソース?プロジェクトを維持するための投資を惜しまないことです」
2021年翱厂厂搁础レポートで明らかになったその他のオープンソース?リスク?トレンドの中で注目すべきいくつかの点は、下记の通りである。
调査したコードベースのうち、4年以上前の旧バージョンのオープンソース依存ファイルを使い続けているものが85%あった。放置状态のプロジェクトとは异なり、こうした时代遅れのオープンソース?コンポーネントには、活动を続けている开発者コミュニティが存在するものの、彼らによるソフトウェア?アップデートやセキュリティ?パッチは、利用者である顾客によって适用されていない。パッチが当てられないことがセキュリティ?リスクに直结するという明白な事実以上に深刻なのは、时代遅れのオープンソース?コンポーネントを用いることによって、技术的に手に负えないツケを払い続けなければならなくなる事态を招きかねないという点である。それは将来のソフトウェア?アップデートの际に、机能的あるいは互换性の问题として顕在化してくる。
2020年の调査では、脆弱なオープンソース?コンポーネントが组み込まれているコードベースの割合は84%で、2019年调査から9%上昇した。同様に高リスクのオープンソース脆弱性が组み込まれているコードベースの割合は、2019年调査の49%から大きく増え、2020年には60%に达している。2019年调査でコードベースに见つかった上位10のオープンソース脆弱性のうちのいくつかは、2020年调査でも上位10にランクインしており、これらが见つかったコードベースの割合はいずれも去年から大きく増加している。
2020年に調査したコードベースのうち、ライセンス条件の競合があるオープンソースを含んだものは65%だった。典型的なものは、GNU GPL(General Public License)と競合していた。また、ライセンスのない、またはカスタム?ライセンスのオープンソースを使用しているコードベースは26%あった。こうした問題は、著作権侵害ないし訴訟のリスクの観点から精査されるべきである。特に、合併?買収取引などでは、そのことが懸念材料となることがある。
オープンソース?ソフトウェアに潜むリスク、并びにその対処についての详细は、下记より入手可能。
ブログは下记より参照可能。
/blogs/software-security/ja-jp/open-source-trends-ossra-report/?cmp=pr-sig&utm_medium=referral
ウェビナーは下记より参加可能。
シノプシス ソフトウェア?インテグリティ?グループについて
シノプシスのソフトウェア?インテグリティ?グループは、開発チームが安全で高品質のソフトウェアを構築し、リスクを最小限に抑えながら開発スピードと生産性を最大化することを支援している。アプリケーション?セキュリティのリーディング?カンパニーとして認められているシノプシスは、静的解析、ソフトウェア?コンポジション解析、および動的解析ソリューションを提供し、チームが独自開発しているコード、オープンソース?コンポーネント、およびアプリケーションの動作の中に潜む脆弱性や不具合をすばやく特定/修正できるようにする。业界をリードするツール、サービス、ならびに専門技術の組み合わせにより、企業/団体がDevSecOpsの中で、またソフトウェア開発ライフサイクルを通じて、セキュリティと品質を最適化できるよう支援している企業はシノプシスのみである。
详细な情报は、/ja-jp/software-integrity.htmlより入手可能。
シノプシスについて
草榴社区.(Nasdaq上場コード:SNPS)は、我々が日々使用しているエレクトロニクス機器やソフトウェア製品を開発する先進企業のパートナーとして、半導体设计からソフトウェア開発に至る領域(Silicon to Software)をカバーするソリューションを提供している。電子设计自動化(EDA)ソリューションならびに半導体设计資産(IP)のグローバル?リーディング?カンパニーとして長年にわたる実績を持ち、业界で最も広範囲をカバーしたアプリケーション?セキュリティ?テスティング?ソリューションならびにサービスを提供しているS&P 500カンパニーである。シノプシスは、最先端の半導体を開発しているSoC(system-on-chip)设计者、よりセキュアでハイ?クオリティなコードを開発しているソフトウェア開発者に、革新的製品の開発に欠かせないソリューションを提供している。
详细情报は、/ja-jpより入手可能。
# # #
草榴社区は、草榴社区.の登録商標または商標です。
その他の商标や登録商标は、それぞれの所有者の知的财产です。
<お问い合わせ先>
日本シノプシス合同会社 ソフトウェア?インテグリティ?グループPR事務局
(井之上パブリックリレーションズ内)
担当:塚田?渡辺
贰尘补颈濒:synopsys@inoue-pr.com