アプリケーションレイヤーこそハッカーの標的であり、既知のオープンソース脆弱性への付込みは、ほとんどのユーザー組織で起こりうる、最大のセキュリティリスクだと、最高経営責任者Lou Shipley氏がいう。オープンソースの安全性確保と管理の自動化ソリューションの分野で世界最大手のBlack Duck Software, Inc.(日本法人、ブラック・ダック・ソフトウェア株式会社)が運営するオープンソースリサーチ&イノベーションセンター(COSRI)は、「2017オープンソース360°調査」を発表した。
米国およびEMEA(欧州、中東、アフリカ)を中心とした819社――74%がソフトウェア開発者やITプロフェッショナル、システムアーキテクト、セキュリティ専門家など――から回答を得た。同調査は、世界でオープンソースの利用が大幅に増え、そのセキュリティ確保と運用リスクについての認識が深まっている一方で、効果的管理への取り組みが遅れていることを浮き彫りにした。
オープンソースの利用は「昨年中に増加した」と約60%が回答し、その理由について、「コスト削減、アクセスが簡単、ベンダーフリー」をはじめとして、「カスタマイズ可/直接改修可」、「より優れた機能や技術」、「オープンソースの進化と革新度合」などを挙げている。
一方、懸念材料として60~75%が、「知的所有権リスク/ロス」、「内部アプリケーションの脆弱性によるリスク」、「外部アプリケーションの脆弱性によるリスク」、「コンポーネントの品質不明」、「内部ポリシー非遵守リスク」などを挙げている。にもかかわらず、選択と承認に関して各所属組織に正規ポリシーのないことが明らかにされていて、利用管理のために「自動化したプロセスを採用している」との回答は15%に留まっている。
「2017オープンソース360°調査」結果のすべてと詳細な説明は、COSRIウェビナーディスカッションに続き、Black Duckのウェブサイトでも入手可能とのことだ。
主に企業においてコード監査、1,071のアプリケーションを対象に実施した「オープンソースセキュリティおよびリスク分析(OSSRA)」では、オープンソースの使用(アプリの96%にオープンソースが含まれていた)と、オープンソースセキュリティ脆弱性の重大リスク(60%以上のアプリにセキュリティ脆弱性が含まれていた)双方が高いレベルにあったと報告されている。