シノプシスは、「2022 オープンソース・セキュリティ&リスク分析(OSSRA:Open Source Security and Risk Analysis)」レポートを5月19日に発表した。
同レポートはシノプシスのBlack Duck監査サービス部門が、企業/団体が買収などで入手した2400超の商用および内製コードベースを調査した結果をシノプシス サイバーセキュリティ・リサーチ・センター(CyRC)が分析し、所見をまとめたものとなっている。
同レポートによれば、オープンソースはすべての業界にまたがるあらゆるソフトウェアで使用されており、今日提供されているすべてのアプリケーションの根幹をなすものとなっていることが明らかになった。
具体的には、運用上のリスクないしメンテナンスの観点からみると、2097のコードベースの85%に過去4年以上開発活動実績のなかったオープンソースが含まれており、88%には最新バージョンではないオープンソース・コンポーネントを使用しており、15%からは脆弱性を残したままのバージョンのLog4jが検出されている。
2097のコードベースに対してセキュリティ/リスク診断を行ったところ、高リスクな脆弱性を抱えたオープンソースが組み込まれているコードベースの数は大幅に減少しており、2021年の調査ではコードベースの60%から1つ以上の高リスクな脆弱性が検出されたが、2022年は49%だった。一方で、81%のコードベースからは1つ以上の既知のオープンソース脆弱性が検出され、2021年調査からの減少幅は3%に留まっている。
コードベースの53%には、ライセンス条件の競合が確認されたものの、2020年調査(65%)からは大きく減少しており、ライセンス問題は2020年から2021年にかけて減少傾向にある。
ライセンスのないオープンソースの使用は、法的リスクを抱え込むジレンマになるとともに、オープンソースのカスタムライセンスはライセンシーにとって好ましくない条件が付加されたものである可能性があることから、知的財産権(IP)の侵害またはその他の予想し得る事態について、法的側面からの評価が必要になるケースが多くなっている。
この記事は参考になりましたか?
- この記事の著者
-
CodeZine編集部(コードジンヘンシュウブ)
CodeZineは、株式会社翔泳社が運営するソフトウェア開発者向けのWebメディアです。「デベロッパーの成長と課題解決に貢献するメディア」をコンセプトに、現場で役立つ最新情報を日々お届けします。
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
