シノプシス・OSSセキュリティ&リスク分析レポート、脆弱性・ライセンス問題まん延

開発から4年経過・過去2年放置など

シノプシスは5月29日、オープンソースソフトウエア(OSS)のセキュリティに関する報告書「オープンソース・セキュリティ&リスク分析(OSSRA)レポート」を公表した。OSS利用が大幅に増加するなか、セキュリティリスクやライセンス上の問題を抱えたオープンソースを使ったソフトウエアコンポーネンツが蔓延していることが判明した。

1200以上の商用アプリケーションやライブラリを調査した結果、96%にオープンソース・コンポーネンツが組み込まれ、コードベースあたりの数が257から298へと増加など、OSSの利用は拡大中。しかしコードベースの68%にはライセンス問題を抱えたOSSが組み込まれており、38%にはライセンス関係が不明確なOSSが含まれている。

コードベースの85%には、開発から4年以上が経過した時代遅れのオープンソース・コンポーネントや、過去2年間一切手が加えられていないコンポーネントが組み込まれ、危険性が放置されている。また脆弱性をそのままにしている年数は平均6.6年まで伸び、コードベースの43%には10年以上前に明らかになった脆弱性がそのまま残っていて、多くの企業がOSSに対してバッチやアップデートを施していなかった。さらにコードベースの40%以上にはハイリスクな脆弱性を抱えたオープンソース・コンポーネンツが1つ以上組み込まれたままになっている。

報告書では、OSSはソフトウエア開発に欠かせないコンポーネンツになっている一方で、セキュリティやライセンス上のリスクを特定して対処していない場合、企業はセキュリティや訴訟リスクが発生する可能性があると示唆している。それでも全体としては、対応能力は上がっており、コードベースの60%は少なくとも1つ以上の脆弱性を抱えているが、昨年の78%よりは改善。また68%はライセンス上で問題があるコンポーネンツが搭載されているが、昨年の74%よりは下がっているとした。

オートメーション新聞は、1976年の発行開始以来、45年超にわたって製造業界で働く人々を応援してきたものづくり業界専門メディアです。工場や製造現場、生産設備におけるFAや自動化、ロボットや制御技術・製品のトピックスを中心に、IoTやスマートファクトリー、製造業DX等に関する情報を発信しています。新聞とPDF電子版は月3回の発行、WEBとTwitterは随時更新しています。

購読料は、法人企業向けは年間3万円(税抜)、個人向けは年間6000円(税抜)。個人プランの場合、月額500円で定期的に業界の情報を手に入れることができます。ぜひご検討ください。

オートメーション新聞/ものづくり.jp Twitterでは、最新ニュースのほか、展示会レポートや日々の取材こぼれ話などをお届けしています
>FA・自動化、デジタル化、製造業の今をお届けする ものづくり業界専門メディア「オートメーション新聞」

FA・自動化、デジタル化、製造業の今をお届けする ものづくり業界専門メディア「オートメーション新聞」

オートメーション新聞は、45年以上の歴史を持つ製造業・ものづくり業界の専門メディアです。製造業DXやデジタル化、FA・自動化、スマートファクトリーに向けた動きなど、製造業各社と市場の動きをお伝えします。年間購読は、個人向けプラン6600円、法人向けプラン3万3000円

CTR IMG