シノプシスは、3月14日に「2023 オープンソース・セキュリティ&リスク分析(OSSRA:Open Source Security and Risk Analysis)レポート」を公表し、その説明会を開催した。
OSSRAレポートは、企業および団体のセキュリティ、法務、リスク管理、開発部門がオープンソースに潜むセキュリティやライセンス上のリスクの全体像をより良く把握できるようにすることを目的としたもの。商用ソフトウェアに組み込まれたオープンソースのセキュリティ、コンプライアンス、ライセンス、コード品質のリスクの現状とその分析がまとめられている。
2023年版では、2022年に収集された1700を超えるコードベースから、17種の業界におけるオープンソース・ソフトウェア利用のトレンドが明らかとなっている。
コードベースの84%に脆弱性、特にJavaScriptライブラリに注意
まず、コードベースの84%に1つ以上の既知の脆弱性が含まれていることが明らかとなった。これは、昨年の調査結果から約4%の増加となる。また、検出された脆弱性を含むコンポーネントは、JavaScriptライブラリの「jQuery」と「Lodash」が多い。
吉井氏はこの結果について、調査対象となったソフトウェアによる部分もあり、必ずしも一般的な事実を示しているわけではないことにも触れた。しかし、脆弱性が引き起こす社会的影響が大きい昨今、注意しておくに越したことは無いだろう。
オープンソース利用が増えた業界が明らかに、一方で脆弱性のリスクも広まる
コロナ禍により、授業や講師と生徒のやり取りのオンライン化が層浸透した結果、エドテックでのオープンソース導入が163%の伸びを示している。またその他にも、航空宇宙/航空機/自動車/運輸/物流が97%増、製造/産業/ロボット工学が74%増となっている。
一方で業界ごとの脆弱性リスクにも変化が見られた。2019年以降、リテール/eコマースの高リスク脆弱性は557%と急増。コード全体の89%がオープンソースであるIoTでは、同じ期間に高リスクの脆弱性が130%増加している。同様に、航空宇宙/航空機/自動車/運輸/物流の分野でも232%増加したことが判明している。
オープンソースのライセンス競合など、著作権法違反リスクの変化
オープンソースのライセンス競合は2018年の68%から54%に低下した。競合の原因としては、CC BY-SA(Creative Commons Attribution-ShareAlike)が多い。
一方で、ライセンスが明確でない、または独自のカスタム・ライセンスを使用している割合は25%から31%に向上している。
オープンソース・コードに関連するライセンスがない状況や、ライセンシーにとって好ましくない条件が付加されたものである可能性があるオープンソースのカスタム・ライセンスは、知的財産権の侵害あるいはその他の予測される事態について法的側面からの評価が必要になるケースが多い。
OSSコミュニティの活動が止まってしまい、リスクにつながる可能性も
リスク診断を実施した1481の調査対象コードベースのうち、91%に古いバージョンのオープンソース・コンポーネントが含まれていた。吉井氏は、OSSコミュニティの活動が止まっていてもコンポーネントを使用し続ける必要があるなど、古いOSSを使わざるを得ない状況を指摘している。
また、抗議目的で悪意あるコードや動作を潜ませる「プロテストウェア」、プライベートレポジトリで使用しているパッケージと同名の悪意あるパッケージを用意することで、不正コードを含んだライブラリをインポートさせる「依存関係攪乱攻撃」、打ち間違い(typo)を利用して、攻撃者が用意したサイトに誘導する「タイポスクワッティング」の増加も紹介された。
対策としては、事前検証やトレーニングの徹底、SBOMの活用など
同社はこれらの分析結果を踏まえ、事前検証や、脆弱性が引き起こすビジネスリスクに対する組織全体の意識変革、ソフトウェア部品表(SBOM:Software Bill of Materials)の活用を対策として挙げた。中でもエンジニア組織の意識変革については、新メンバーに対するトレーニングの徹底などを挙げた。
この記事は参考になりましたか?
- この記事の著者
-
小林 真一朗(編集部)(コバヤシシンイチロウ)
2019年6月よりCodeZine編集部所属。カリフォルニア大学バークレー校人文科学部哲学科卒。
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です