コンピュータ?ハードウェアおよび半導体业界は高リスク脆弱性が最も多く、製造、産業機器、ロボット业界が続く
2024年4月17日 東京発 - シノプシス(草榴社区.、狈补蝉诲补辩上场コード:厂狈笔厂)は本日、2024 オープンソース?セキュリティ&リスク分析(OSSRA:Open Source Security and Risk Analysis)レポートを発表した。第9版となる今回のレポートでは、リスク评価を行った商用コードベースの74%に、高リスクの脆弱性にさらされているオープンソース?コンポーネントが含まれており、前年から54%増加していることが明らかになった。
2024 OSSRAレポートは、2023年に17业界にわたる1,000以上の商用コードベース監査から得られた匿名化された調査結果をシノプシス サイバーセキュリティ?リサーチ?センター(CyRC)が分析し、所见をまとめたものである。本レポートは、セキュリティ/开発/法务部门に、オープンソース?ソフトウェアの导入と利用の动向、セキュリティ脆弱性の蔓延、ソフトウェア?ライセンスとコード品质リスクなど、オープンソース活用の全体像を包括的に提供している。
コードベースに少なくとも1つのオープンソース脆弱性を含む割合は前年と同じ84%だったが、2023年に高リスクの脆弱性を含むコードベースが大幅に増加している。経済不安やそれに伴う技术者のレイオフなどにより、脆弱性のパッチ适用を行うためのリソースが减少したことに起因していると考えられる。高リスクのオープンソース脆弱性(积极的に悪用されている、笔辞颁のエクスプロイトが公开されている、またはリモートコード実行の脆弱性として分类されている)を含むコードベースの割合は、前年の48%から74%に増加した。
シノプシス ソフトウェア?インテグリティ?グループ ジェネラル?マネージャー Jason Schmittは、次のように述べている。「今年のOSSRAレポートは、さまざまな重要産業において高リスクのオープンソース脆弱性が憂慮すべきレベルにまで増加し、サイバー犯罪者に悪用される危険にさらされていることを示しています。2023年はより速く、より少ないリソースでより多くのことをこなさなければならないというソフトウェア?チームのプレッシャーが高まり、それがオープンソース脆弱性の急増につながったと考えられます。悪意ある第三者は、この攻撃ポイントに目をつけるため、オープンソースを効果的に特定/追跡/管理してソフトウェアの安全性を適切に維持することは、ソフトウェア?サプライチェーンのセキュリティを強化するための重要な要素となります」
2024 OSSRAレポートの主な調査結果は以下の通りである。
组织は、时代遅れの、あるいは更新されていないオープンソース?コンポーネントをいまだに使用している。コードベースの91%には、10バージョン以上古いコンポーネントが含まれており、コードベースのほぼ半数(49%)に、过去2年以内に开発活动が行われていないコンポーネントが含まれていた。また、コードベースに含まれるオープンソース脆弱性の公开からの平均年数は2.5年以上であり、4分の1近くのコードベースに10年以上前から存在する脆弱性が含まれていることが分かった。
コンピュータ?ハードウェアおよび半導体の业界は高リスクのオープンソース脆弱性を含むコードベースの割合が業種別で最も高い88%に上り、製造、産業機器、ロボットの业界が87%で続いている。また、ビッグデータ、AI、BI、機械学習の业界は66%だった。宇宙、航空、自动车、運輸、物流の业界は最も少ないが、コードベースの33%に高リスクの脆弱性が含まれていた。
ライセンス?コンプライアンス順守は、効果の高いソフトウェア?サプライチェーン?マネージメントにおいて重要だが、レポートでは、コードベースの半数以上(53%)にオープンソース?ライセンスの競合の問題が見つかり、コードベースの31%は識別可能なライセンスがないか、カスタム?ライセンスのコードを使用していることが判明した。ライセンスに抵触するコードベースの割合が業種別で最も高かったのはコンピュータ?ハードウェアおよび半導体の业界で92%、次いで製造業、産業機器、ロボットの业界が81%だった。ソフトウェアに1つでもコンプライアンス違反のライセンスがあると、知的財産が生み出す利益を失い、修復に時間がかかり、製品の市場投入が遅れる可能性がある。
今回の调査で最も频繁に観测されたオープンソースの脆弱性の大部分は、不适切な中和(颁奥贰-707)に分类されるものであった。この脆弱性タイプには、さまざまな形のクロスサイト?スクリプティングが含まれており、悪用された场合、非常に深刻な被害をもたらす可能性がある。
2024年翱厂厂搁础レポートの详细は、下记より入手可能。
/ja-jp/blogs/software-security/zombie-dead-code.html?cmp=pr-sig&utm_medium=referral
シノプシス ソフトウェア?インテグリティ?グループについて
シノプシスのソフトウェア?インテグリティ?グループは、ソフトウェアを開発/提供するための手法の転換を実現する統合ソリューションを提供している。これにより開発チームは、リスクを最小限に抑えながらイノベーションを加速することが可能となる。シノプシスが业界をリードするソフトウェア?セキュリティ対策ツール?ポートフォリオならびにサービスは、世界で最も包括的なソリューションであるだけでなく、サードパーティー並びにオープンソースのツールとの相互運用も実現している。そのため、企業/団体は、現在使用している開発ソリューションを活用しつつ、自社に最適なセキュリティ対策手法を構築することができる。ソフトウェアの信頼性確保に必要となるあらゆる開発ソリューションを提供している企業はシノプシスのみである。
详细な情报は、/ja-jp/software-integrity.htmlより入手可能。
シノプシスについて
シノプシス(Nasdaq: SNPS)は、電子设计自動化からシリコン滨笔、システム検証ならびに妥当性確認に至る、信頼性の高い包括的なシリコン to システム设计ソリューションの提供により、広がりゆく知の時代を切り開いている。幅広い业界の半導体およびシステム開発企業との緊密な協業を通じて、その研究開発能力と生産性を最大限にまで高め、明日の創造力に火をつける今日のイノベーションに貢献している。
详细情报は、/ja-jpより入手可能。
# # #
草榴社区は、草榴社区.の登録商標または商標です。
その他の商标や登録商标は、それぞれの所有者の知的财产です。
<お问い合わせ先>
日本シノプシス合同会社 ソフトウェア?インテグリティ?グループPR事務局
(井之上パブリックリレーションズ内)
担当:塚田?増田
贰尘补颈濒:synopsys@inoue-pr.com