オープンソース・ソフトウェアで既知の脆弱性やライセンス違反の問題

Synopsys(シノプシス)は、シノプシスBlack Duckグループによる調査報告書「2018 Open Source Security and Risk Analysis」(OSSRA)レポートを公表した。

この報告書は、匿名データ化した1,100以上の商用コードベース(2017年時点)の調査結果の分析ならびに所見をまとめたものである。対象となった業界は、車載システム関連、ビッグデータ関連、サイバーセキュリティ関連、エンタープライズ・ソフトウェア、金融サービス、医療関連、IoT関連、製造関連、モバイルアプリ関連である。

目を引くのは、オープンソース・ソフトウェア利用の大幅な増加で、オープンソース・コンポーネントが組み込まれているプログラムは調査対象のアプリケーション全体の96%に上ることが明らかとなった。

調査対象となったコードベース(257)に含まれているオープンソース・コンポーネントの平均数は、昨年比で75%の増加となっており、多くのアプリケーションでオープンソースの構成比が自社開発コードよりも高くなった。

懸念されるのは、調査したコードベースの78%から少なくとも1つ以上のオープンソース・セキュリティ脆弱性が検出され、コードベースあたり平均で64個もの脆弱性が認められたことである。

コードベースに潜む脆弱性の54%以上は、(共通脆弱性評価システムCVSSにおいて)ハイリスクと分類されている脆弱性と考えられる。またコードベースの70%からは、Heartbleed、Logjam、Freak、Drown、Poodleといった広く報道された脆弱性が検出された。

脆弱なオープンソース・コンポーネントは、あらゆる業界で散見される。インターネットやソフトウェア・インフラの業界では、ハイリスクなオープンソース・セキュリティ脆弱性を抱え込んでいるアプリケーションの比率が67%と最高レベルに達している。皮肉な現象だが、サイバーセキュリティ業界で使われているアプリケーションでも、実に41%がオープンソース脆弱性を持っていることが分かった。リスクレベルとしては業界別にみると4番目に位置する。

さらに、Apache Strutsを組み込んだ調査対象のコードベースのうち33%は、Equifaxの大規模データ流出事件を引き起こす原因となった脆弱性を抱えていることも判明した。これは、企業団体が、自社のコードベース内にますます多くの脆弱性を積み上げつつあることを示している。今回の調査で特定された脆弱性は、平均で6年前に公になったものであることも分かった。

報告書では、コードベースの74%が何らかのライセンス違反を抱えていることも明らかになっている。もっとも多いのがGPL形式に対するライセンス違反である。コードの中にオープンソース・ライセンス違反が含まれている率で、比較的低かったのは小売/Eコマース業界のアプリケーションの61%、最も高かったのはテレコミュニケーションならびにワイヤレス業界で、調査したコードの実に100%がライセンス違反を包含していたことも分かった。

レポートは以下のリンクよりダウンロード可能
https://www.blackducksoftware.com/ja/open-source-security-risk-analysis-2018

シノプシスによる調査の結果、オープンソース・ソフトウェア利用の急拡大に伴って大半のソフトウェア・プログラム 既知の脆弱性やライセンス違反の問題を抱えていることが明らかに

カテゴリー: 情報通信 , DevOps , セキュリティ   

大島 純一郎

大島 純一郎Author

証券系システムエンジニアやIT系資格対策問題集の編集、IT系Webメディアの編集記者などの経歴を生かして、企業向けIT関連の記事制作に携わる。専門は、IT、金融、医療分野。医療情報システムの企画/構築、運用に関する知識を有する専門者としての資格、医療情報技師、情報セキュリティアドミニストレータの保有者。

Pickup

高級クロコダイルレザー仕様製品を抽選で各3名様へプレゼント
高級クロコダイルレザー仕様のbp-Aオリジナルキーホルダーとシューホーンを抽選で各3名様へプレゼントいたします。  続きを読む

関連記事