シノプシスは、「2021年オープンソース・セキュリティ&リスク分析レポート(OSSRA)」を発表した。
このレポートは、シノプシスのBlack Duck監査サービス部門が1500以上の商用コードベースを調査した結果をCybersecurity Research Center(CyRC)が分析し、所見をまとめたものになる。
これによると、放置状態にオープンソースコンポーネントの使用がまん延していることが明らかになった。コードベース全体の91%は、過去2年間に一切の開発活動実績のなかったコンポーネントで、コードの改善や脆弱性の修正が何ら施されてこなかったオープンソース依存ファイルが組み込まれている。
調査したコードベースのうち、4年以上前の旧バージョンのオープンソース依存ファイルを使い続けているものが85%あった。
2020年の調査では、脆弱なオープンソースコンポーネントが組み込まれているコードベースの割合は84%で、2019年の調査から9%上昇した。同様に、高リスクのオープンソース脆弱性が組み込まれているコードベースの割合は、2019年調査の49%から2020年には60%に達している。
また、2020年に調査したコードベースのうち、ライセンス条件の競合があるオープンソースを含んだものは65%だった。典型的なものは、GNU GPL(General Public License)と競合していたといいう。ライセンスがない、または、カスタムライセンスのオープンソースを使用しているコードベースは26%だった。
業界別の調査結果では、CRM(顧客関係管理)システムやソーシャルメディアなどのマーケティングテック業界では、全ての企業がオープンソースをコードベースに組み込んでおり、それらのコードベースの95%には、オープンソースの脆弱性が潜んでいるという。
同様に医療関係業界では、98%の企業が組み込み、67%の脆弱性があった。金融サービス/FinTech業界では、97%が組み込み、60%超に脆弱性があるという。リテール/Eコマース業界では、92%の企業が組み込んでおり、71%に脆弱性が潜んでいるとした。
