シノプシスは4月17日、「オープンソース・セキュリティ&リスク分析レポート(OSSRA Open Source Security and Risk Analysis)」を発表した。 本レポートでは、商用コードの74%に高リスクなオープンソースコンポーネントが含まれており、 前年比で54%増加していることが明らかになった。
このレポートは、シノプシスサイバーセキュリティ・リサーチ・ センター(CyRC)が2023年に17業界で1000以上の商用コードベース監査から得られた調査結果を分析し、まとめたもの。
調査結果によると、コードベースに少なくとも1つの脆弱性を含む割合は、前年と同じ84%だった。しかしながら、「積極的に悪用されている」「PoCのエクスプロイトが公開されている」「リモートコード実行の脆弱性として分類されている」などの高リスクのオープンソース脆弱性を含むコードベースの割合は、前年の48%から74%に増加した。
またコードベースの91%には、10バージョン以上古いコンポーネントが含まれ、半数(49%)のコードベースには、過去2年以内に開発活動が行われていないコンポーネントが含まれていた。コードベースに含まれる脆弱性の公開からの平均年数は2.5年以上であり、4分の1近くのコードベースに10年以上前から存在する脆弱性が含まれていることが分かった。
「コンピュータ・ハードウェア」および「半導体」の業界は高リスクのオープンソース脆弱性を含むコードベースの割合が88%で最も高く、「製造」「産業機器」「ロボット」の業界で87%だった。また、「ビッグデータ」「AI」「BI」「機械学習」の業界は66%だった。一方、「宇宙」「航空」「自動車」「運輸」「物流」の業界では33%と最も低い割合となった。
加えて、コードベースの53%にオープンソース・ライセンスの競合の問題が見つかった。コードベースの31%は識別可能なライセンスがないか、カスタム・ライセンスのコードを使用していた。ライセンスに抵触するコードベースの割合が最も高かったのは「コンピュータ・ハードウェア」と「半導体」の業界で92%となった。次いで「製造業」「産業機器」「ロボット」の業界が81%だった。
今回の調査では、最も頻繁に観測されたオープンソースの脆弱性の大部分が、不適切な中和 (CWE 707)に分類された。この脆弱性タイプには、さまざまな形のクロスサイト・スクリプティングが含まれており、悪用されると深刻な被害をもたらす可能性がある。
この記事は参考になりましたか?
- この記事の著者
-
CodeZine編集部(コードジンヘンシュウブ)
CodeZineは、株式会社翔泳社が運営するソフトウェア開発者向けのWebメディアです。「デベロッパーの成長と課題解決に貢献するメディア」をコンセプトに、現場で役立つ最新情報を日々お届けします。
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です