シノプシス・OSSセキュリティ&リスク分析レポート、脆弱性・ライセンス問題まん延

2019年6月19日

開発から4年経過・過去2年放置など

シノプシスは5月29日、オープンソースソフトウエア(OSS)のセキュリティに関する報告書「オープンソース・セキュリティ&リスク分析(OSSRA)レポート」を公表した。OSS利用が大幅に増加するなか、セキュリティリスクやライセンス上の問題を抱えたオープンソースを使ったソフトウエアコンポーネンツが蔓延していることが判明した。

1200以上の商用アプリケーションやライブラリを調査した結果、96%にオープンソース・コンポーネンツが組み込まれ、コードベースあたりの数が257から298へと増加など、OSSの利用は拡大中。しかしコードベースの68%にはライセンス問題を抱えたOSSが組み込まれており、38%にはライセンス関係が不明確なOSSが含まれている。

コードベースの85%には、開発から4年以上が経過した時代遅れのオープンソース・コンポーネントや、過去2年間一切手が加えられていないコンポーネントが組み込まれ、危険性が放置されている。また脆弱性をそのままにしている年数は平均6.6年まで伸び、コードベースの43%には10年以上前に明らかになった脆弱性がそのまま残っていて、多くの企業がOSSに対してバッチやアップデートを施していなかった。さらにコードベースの40%以上にはハイリスクな脆弱性を抱えたオープンソース・コンポーネンツが1つ以上組み込まれたままになっている。

報告書では、OSSはソフトウエア開発に欠かせないコンポーネンツになっている一方で、セキュリティやライセンス上のリスクを特定して対処していない場合、企業はセキュリティや訴訟リスクが発生する可能性があると示唆している。それでも全体としては、対応能力は上がっており、コードベースの60%は少なくとも1つ以上の脆弱性を抱えているが、昨年の78%よりは改善。また68%はライセンス上で問題があるコンポーネンツが搭載されているが、昨年の74%よりは下がっているとした。