この報告書は、匿名データ化した1,100以上の商用コードベース(2017年時点)の調査結果の分析ならびに所見をまとめたものである。対象となった業界は、車載システム関連、ビッグデータ関連、サイバーセキュリティ関連、エンタープライズ・ソフトウェア、金融サービス、医療関連、IoT関連、製造関連、モバイルアプリ関連である。
目を引くのは、オープンソース・ソフトウェア利用の大幅な増加で、オープンソース・コンポーネントが組み込まれているプログラムは調査対象のアプリケーション全体の96%に上ることが明らかとなった。
調査対象となったコードベース(257)に含まれているオープンソース・コンポーネントの平均数は、昨年比で75%の増加となっており、多くのアプリケーションでオープンソースの構成比が自社開発コードよりも高くなった。
懸念されるのは、調査したコードベースの78%から少なくとも1つ以上のオープンソース・セキュリティ脆弱性が検出され、コードベースあたり平均で64個もの脆弱性が認められたことである。
コードベースに潜む脆弱性の54%以上は、(共通脆弱性評価システムCVSSにおいて)ハイリスクと分類されている脆弱性と考えられる。またコードベースの70%からは、Heartbleed、Logjam、Freak、Drown、Poodleといった広く報道された脆弱性が検出された。
脆弱なオープンソース・コンポーネントは、あらゆる業界で散見される。インターネットやソフトウェア・インフラの業界では、ハイリスクなオープンソース・セキュリティ脆弱性を抱え込んでいるアプリケーションの比率が67%と最高レベルに達している。皮肉な現象だが、サイバーセキュリティ業界で使われているアプリケーションでも、実に41%がオープンソース脆弱性を持っていることが分かった。リスクレベルとしては業界別にみると4番目に位置する。
さらに、Apache Strutsを組み込んだ調査対象のコードベースのうち33%は、Equifaxの大規模データ流出事件を引き起こす原因となった脆弱性を抱えていることも判明した。これは、企業団体が、自社のコードベース内にますます多くの脆弱性を積み上げつつあることを示している。今回の調査で特定された脆弱性は、平均で6年前に公になったものであることも分かった。
報告書では、コードベースの74%が何らかのライセンス違反を抱えていることも明らかになっている。もっとも多いのがGPL形式に対するライセンス違反である。コードの中にオープンソース・ライセンス違反が含まれている率で、比較的低かったのは小売/Eコマース業界のアプリケーションの61%、最も高かったのはテレコミュニケーションならびにワイヤレス業界で、調査したコードの実に100%がライセンス違反を包含していたことも分かった。
レポートは以下のリンクよりダウンロード可能
https://www.blackducksoftware.com/ja/open-source-security-risk-analysis-2018