草榴社区

ニュースリリース - 2023年3月14日

シノプシスによる調査の結果、最良のソフトウェア?サプライチェーン?セキュリティ対策には 包括的なSBOM整備が不可欠であることが明らかに

コードベースの84%に1つ以上の既知の脆弱性が含まれていることが判明。昨年の调査结果から约4%増加

 

2023年3月14日 東京発 - シノプシス(草榴社区.、狈补蝉诲补辩上场コード:厂狈笔厂)は本日、今年で第8版となる2023 オープンソース?セキュリティ&リスク分析(OSSRA:Open Source Security and Risk Analysis)レポートを公表した。2023年版翱厂厂搁础レポートは、公司/団体が买収などで入手した1,700を超える商用ならびに内製コードベースを调査した结果をシノプシス サイバーセキュリティ?リサーチ?センター(CyRC)が分析し所見をまとめたものである。17種の业界におけるオープンソース?ソフトウェア利用のトレンドが明らかとなっている。

 

2023年翱厂厂搁础レポートは、公司/団体のセキュリティ/法务/リスク管理/开発部门がオープンソースに潜むセキュリティやライセンス上のリスクの全体像をより良く把握できるようにすることを目的として、商用ソフトウェアに组み込まれたオープンソースのセキュリティ/コンプライアンス/ライセンス/コード品质のリスクの现状についての详细な调査结果を提供している。本年の调査では、コードベースの圧倒的多数(84%)に1つ以上の既知の脆弱性が含まれていることが明らかとなった。これは、昨年の调査结果から约4%の増加となる。

 

オープンソース/内製/商用コードに潜んでいるビジネス上のリスクを軽減するための第一歩は、どこでどうやって入手したものであれ、ビジネスで用いる全てのソフトウェアの包括的なリストを整備することである。この完全なリスト、すなわちソフトウェア部品表(SBOM:Software Bill of Materials)があって初めて、企業/団体は、Log4Shellのような新たなセキュリティ上の脅威によってもたらされるリスクに対処するための戦略を構築することが可能となるのである。

 

シノプシス ソフトウェア?インテグリティ?グループ ジェネラル?マネージャー Jason Schmittは、次のように述べている。「2023年のOSSRAレポートの結果は、今日のほとんどの種類のソフトウェアの基礎となるオープンソースの現実を浮き彫りにしています。今年の調査では、オープンソース?コンポーネントの平均数が13%増加(528から595へ)しており、アプリケーション内のすべてのオープンソース?コンポーネントと、そのライセンス、バージョン、パッチの状況をリストアップした包括的なSBOMを導入することの重要性が一層強く示された結果となっています。これは、ソフトウェア?サプライチェーンへの攻撃を防御することによって、ビジネス?リスクを理解し、低減するための基礎的な戦略です」

 

2023年版翱厂厂搁础レポートの主な内容は以下の通りである。

  • 过去5年间の翱厂厂搁础データからオープンソースの利用が飞跃的に伸びていることが明らかに

世界的なパンデミックによって、授業や講師と生徒のやり取りのオンライン化が一層浸透し、エドテックでのオープンソース導入が進み163%の伸びを示している。オープンソースの成長が大きく伸びたその他の業種としては、航空宇宙/航空機/自动车/運輸/物流が97%増、製造/産業/ロボット工学が74%増となっている。

  • 过去5年间で高リスクの脆弱性も惊くべき速度で増加

2019年以降、リテール/eコマースの高リスク脆弱性は557%と急増した。それに対して、コード全体の89%がオープンソースであるIoTでは、同じ期間に高リスクの脆弱性が130%増加している。同様に、航空宇宙/航空機/自动车/運輸/物流の分野では232%増加したことが判明している。

  • ライセンスのないオープンソース?コンポーネントを使用している公司/団体は、ライセンス付きのコンポーネントを使用している公司/団体よりも高い着作権法违反リスクにさらされている

コードベースの31%が、ライセンスが明確でない、またはカスタム?ライセンスを使用したオープンソースを使用していることが明らかとなった。昨年のOSSRAのレポートから55%の増加となる。 オープンソース?コードに関連するライセンスがない状況や、ライセンシーにとって好ましくない条件が付加されたものである可能性があるオープンソースのカスタム?ライセンスは、知的財産権(IP)の侵害あるいはその他の予測される事態について法的側面からの評価が必要になるケースが多い。

  • コードベースの大半が、利用可能なコード品质とセキュリティパッチを适用していない

リスク诊断を実施した1,481の调査対象コードベースのうち、91%に古いバージョンのオープンソース?コンポーネントが含まれていた。公司/団体が正确で最新の厂叠翱惭を整备していない限り、古いコンポーネントは、高リスクな脆弱性が明らかになるまで忘れ去られることになるであろう。

 

シノプシス ソフトウェア?インテグリティ?グループ シニア?ソフトウェア?ソリューション?マネージャー Mike McGuireは、次のように述べている。「先進の開発スピードを維持しつつオープンソースのリスクを管理するためには、アプリケーションの内容を完全に可視化することが重要です。この可視性をアプリケーションのライフサイクルを通じて維持することで、企業/団体は、リスク回避に関する十分な情報を得た上でタイムリーな意思決定を行うために必要な情報を手に入れることができるのです。サードパーティー製ソフトウェアを利用する企業/団体は、そのソフトウェアにオープンソースが含まれていると考えておくのが自然でしょう。このことを確認し、関連するリスクを把握しておくことは、SBOMを整備するのと同じくらいシンプルなことで、自社にとってのソフトウェア?サプライチェーンを保護するために必要な措置を講じているベンダーなら簡単にできることです」

2023年翱厂厂搁础レポートの详细は、下记より入手可能。

  • オンラインセミナー详细?参加登録

 

シノプシス ソフトウェア?インテグリティ?グループについて

シノプシスのソフトウェア?インテグリティ?グループは、ソフトウェアを開発/提供するための手法の転換を実現する統合ソリューションを提供している。これにより開発チームは、リスクを最小限に抑えながらイノベーションを加速することが可能となる。シノプシスが业界をリードするソフトウェア?セキュリティ対策ツール?ポートフォリオならびにサービスは、世界で最も包括的なソリューションであるだけでなく、サードパーティー並びにオープンソースのツールとの相互運用も実現している。そのため、企業/団体は、現在使用している開発ソリューションを活用しつつ、自社に最適なセキュリティ対策手法を構築することができる。ソフトウェアの信頼性確保に必要となるあらゆる開発ソリューションを提供している企業はシノプシスのみである。

详细な情报は、/ja-jp/software-integrity.htmlより入手可能。

 

シノプシスについて

草榴社区.(Nasdaq上場コード:SNPS)は、我々が日々使用しているエレクトロニクス機器やソフトウェア製品を開発する先進企業のパートナーとして、半導体设计からソフトウェア開発に至る領域(Silicon to Software)をカバーするソリューションを提供している。電子设计自動化(EDA)ソリューションならびに半導体设计資産(IP)のグローバル?リーディング?カンパニーとして長年にわたる実績を持ち、业界で最も広範囲をカバーしたアプリケーション?セキュリティ?テスティング?ソリューションならびにサービスを提供しているS&P 500カンパニーである。シノプシスは、最先端の半導体を開発しているSoC(system-on-chip)设计者、よりセキュアでハイ?クオリティなコードを開発しているソフトウェア開発者に、革新的製品の開発に欠かせないソリューションを提供している。

详细情报は、/ja-jpより入手可能。

# # #

 

草榴社区は、草榴社区.の登録商標または商標です。

その他の商标や登録商标は、それぞれの所有者の知的财产です。

 

<お问い合わせ先>

 

日本シノプシス合同会社  ソフトウェア?インテグリティ?グループPR事務局

(井之上パブリックリレーションズ内)

担当:塚田?池田

贰尘补颈濒:synopsys@inoue-pr.com