オープンソースソフトウェアが採用されることが増え、危険なバグを発見しようとする取り組みが強化されたことで、オープンソースに発見された脆弱性の数は2019年、6100件になった。1年前の4100件と比較すると増加している。
この数字を発表したのは、セキュリティ企業のWhiteSourceだ。同社のレポートによれば、2009年に報告されたオープンソースソフトウェアの脆弱性は1000件未満であり、劇的に増加していると言える。
2014年に、広く利用されている「OpenSSL」に「Heartbleed」と呼ばれる脆弱性があることをGoogleセキュリティーチームの研究者が公表したことが、オープンソースのセキュリティの大きな転換点となった。
この出来事はIT業界に衝撃を与え、インターネットにとっては必要不可欠であるにも関わらず、資金が不足しており、バグの発見や修正を行うだけのリソースがないオープンソースプロジェクトを何とかしようというアクションにつながった。
この事件を受けて、The Linux Foundationの「Core Infrastructure Initiative」(CII)が設立された。この活動は、Amazon Web Services(AWS)、Google、IBM、Intel、Microsoft、Ciscoなどの企業からバックアップを受けている。
WhiteSourceが公開した数字によれば、2015年と2016年は脆弱性の数が年間1500件以下だったが、2017年と2018年には年間4000件以上に膨れあがった。
オープンソースソフトウェアに発見された脆弱性の数は、2019年に大きく跳ね上がった。
提供:WhiteSource
新たに見つかったバグの多くは、Googleが作ったオープンソースソフトウェアの自動ファズテストツールである「OSS-Fuzz」などによって発見されている。OSS-Fuzzは2018年までの2年間で9000件以上の脆弱性を開発者に報告している。このソフトウェアは、2020年1月時点までに、250のオープンソースプロジェクトで1万6000件の脆弱性を発見した。
WhiteSourceによれば、オープンソースに存在した脆弱性のうち85%は、情報が開示されており、パッチも提供されている。ただし、パッチの存在を知らないユーザーも一部にいる。これは、既知のオープンソースの脆弱性のうち、National Vulnerability Database(NVD)で公開されるのは84%にすぎないためだ。