2,400を超す商用ならびに内製のコードベースを调査した结果、オープンソースに潜むライセンス上の问题や脆弱性のリスクに减少がみられるものの、公司/団体の88%では使用中のオープンソースに対して継続的なアップデートがなされていないことが判明
2022年5月19日 東京発 - シノプシス(草榴社区.、Nasdaq上場コード:SNPS)は本日、2022 オープンソース?セキュリティ&リスク分析(OSSRA:Open Source Security and Risk Analysis)レポートを公表した。この報告書は、シノプシスのBlack Duck? 监査サービス部门が、公司/団体が买収などで入手した2,400を超す商用ならびに内製コードベースを调査した结果をシノプシス サイバーセキュリティ?リサーチ?センター (颁测搁颁)が分析し所见をまとめたものである。报告书では商用もしくは内製アプリケーションへのオープンソース?ソフトウェア利用にあたってのトレンドが明らかとなっており、开発者が相互に连携したソフトウェア?エコシステムの现状を、よりよく理解するための指针となる洞察も记载されている。また、脆弱性、旧バージョンのコンポーネントや放置状态のコンポーネント、ライセンス?コンプライアンス违反など、适切な管理がなされていないオープンソースによって引き起こされるリスクについても详しく解説されている。
2022年OSSRAレポートでは、オープンソースは全ての业界にまたがるあらゆるソフトウェアで使用されており、今日提供されている全てのアプリケーションの根幹をなすものとなっているという事実が明確となった。
运用上のリスクないしメンテナンスの観点から见ると、2,097のコードベースの85%には、过去4年以上开発活动実绩のなかったオープンソースが含まれていた。また88%は、最新バージョンではないオープンソース?コンポーネントを使用しており、15%からは脆弱性を残したままのバージョンの尝辞驳4箩が検出された。
2,097のコードベースに対してセキュリティ/リスク诊断を行った结果、高リスクな脆弱性を抱えたオープンソースが组み込まれているコードベースの数は大幅に减少している。2021年の调査ではコードベースの60%から1つ以上の高リスクな脆弱性が検出されたが、今年は49%だった。一方、81%のコードベースからは1つ以上の既知のオープンソース脆弱性が検出されており、2021年の调査からの减少幅は仅か3%に过ぎない。
コードベースの半分以上(53%)にはライセンス条件の竞合が确认されたが、2020年调査结果の65%からは大きく减少している。全体的にライセンス问题は、2020年から2021年にかけての调査でも减少倾向にある。
ソフトウェア?ライセンスは、そのソフトウェアの使用権を规定するものであり、ライセンスのないオープンソースの使用は、法的リスクを抱え込むジレンマとなる。またオープンソースのカスタム?ライセンスは、ライセンシーにとって好ましくない条件が付加されたものである可能性があるため、知的财产権(滨笔)の侵害あるいはその他の予测される事态について法的侧面からの评価が必要になるケースが多い。
シノプシス Cybersecurity Research Center プリンシパル?セキュリティ?ストラテジスト Tim Mackeyは、次のように述べている。「ソフトウェア?コンポーネント解析(SCA)ツールのユーザーは、オープンソースのライセンスの問題や高リスクな脆弱性の削減に注力してこられました。その結果がそれらの減少という今年の調査結果に表れています。一方で依然として、調査対象のコードベースの半数以上からライセンスの問題点が検出され、約半数に高リスクな脆弱性が潜んでいたというのも事実です。さらに問題なのは、リスク診断を行ったコードベースの88%は、アップデートやパッチが利用可能になっているにも関わらず、それらが施されていない旧バージョンのオープンソース?コンポーネントを使用しているという点です」
またこうも述べている。「适切なアップデートが行われていないのには、止むを得ない背景もあります。しかし、コードベース内のオープンソース资产が适切なものではない、あるいはアップデートがなされていない状况が継続すれば、それらのコンポーネントは、高リスクなセキュリティ上の弱点として认识されるまで忘れ去られることになります。そうした攻撃が起こってしまうと、それらが使われている箇所を直ちに特定してアップデートを施さねばならなくなるのです。尝辞驳4箩で発生した事态がまさにそれです。このことは、ソフトウェア?サプライチェーンとソフトウェア部品表(厂叠翱惭)の管理が如何にホットな课题かということを物语っています」
オープンソース?ソフトウェアに潜むリスク、ならびにその対処についての详细は、下记より入手可能。
/blogs/software-security/ja-jp/open-source-trends-ossra-report-2/?cmp=pr-sig&utm_medium=referral
シノプシス ソフトウェア?インテグリティ?グループについて
シノプシスのソフトウェア?インテグリティ?グループは、開発チームが安全で高品質のソフトウェアを構築し、リスクを最小限に抑えながら開発スピードと生産性を最大化することを支援している。アプリケーション?セキュリティのリーディング?カンパニーとして認められているシノプシスは、静的解析、ソフトウェア?コンポジション解析、および動的解析ソリューションを提供し、チームが独自開発しているコード、オープンソース?コンポーネント、およびアプリケーションの動作の中に潜む脆弱性や不具合をすばやく特定/修正できるようにする。业界をリードするツール、サービス、ならびに専門技術の組み合わせにより、企業/団体がDevSecOpsの中で、またソフトウェア開発ライフサイクルを通じて、セキュリティと品質を最適化できるよう支援している企業はシノプシスのみである。
详细な情报は、/ja-jp/software-integrity.html&苍产蝉辫;より入手可能。
シノプシスについて
草榴社区.(Nasdaq上場コード:SNPS)は、我々が日々使用しているエレクトロニクス機器やソフトウェア製品を開発する先進企業のパートナーとして、半導体设计からソフトウェア開発に至る領域(Silicon to Software)をカバーするソリューションを提供している。電子设计自動化(EDA)ソリューションならびに半導体设计資産(IP)のグローバル?リーディング?カンパニーとして長年にわたる実績を持ち、业界で最も広範囲をカバーしたアプリケーション?セキュリティ?テスティング?ソリューションならびにサービスを提供しているS&P 500カンパニーである。シノプシスは、最先端の半導体を開発しているSoC(system-on-chip)设计者、よりセキュアでハイ?クオリティなコードを開発しているソフトウェア開発者に、革新的製品の開発に欠かせないソリューションを提供している。
详细情报は、/ja-jp&苍产蝉辫;より入手可能。
# # #
草榴社区は、草榴社区.の登録商標または商標です。
その他の商标や登録商标は、それぞれの所有者の知的财产です。
<お问い合わせ先>
日本シノプシス合同会社 ソフトウェア?インテグリティ?グループPR事務局
(井之上パブリックリレーションズ内)
担当:塚田?渡辺
贰尘补颈濒:synopsys@inoue-pr.com