企業が自社のソフトウェアやシステムの強化を目的としてオープンソースコンポーネントを利用するケースが増えてきているが、新たに公開された調査結果を見る限り、そうしたオープンソースコンポーネントのセキュリティや管理が適切になされているとは言い難い。

提供:Getty
Black Duck Softwareが米国時間6月15日に発表した「2017 Open Source 360° Survey」には、「オープンソースの効率的な管理は、その利用の増加ペースに追随できていない」と記されている。
この調査は、主に米国とEMEA(欧州、中東、アフリカ)地域の819人におよぶソフトウェア開発者やITプロフェッショナル、セキュリティ専門家、システムアーキテクトらを対象に実施された。同調査によると、過去1年でオープンソースソフトウェアの利用が大きく伸びており、回答者のおよそ60%がオープンソースコミュニティーをベースにした開発に取り組んでいると答えている。
回答者らはオープンソースソフトウェアを利用する理由としてコスト削減や、利用のしやすさ、特定ベンダーにロックインされないシステムに加えて、コードのカスタマイズやバグ修正を直接実施できる点を挙げている。また、オープンソースソフトウェアによってビジネスイノベーションが活性化するという点を挙げた回答者は55%いた。
しかし、オープンソースコンポーネントへの依存の高まりに関する懸念も存在している。同調査では回答者の66%が、オープンソースソフトウェアの利用に関するライセンス上のリスクや知的財産の喪失という懸念を抱いていると答えている。
また全体的に見た場合、オープンソースのコードに存在する脆弱性を通じて自社のアプリケーションがリスクにさらされる可能性を懸念している回答者が64%おり、オープンソースソフトウェアの利用によって外部アプリケーションがリスクにさらされる可能性を懸念している回答者も71%いた。
そして、オープンソースソフトウェアの使用時には、開発チームが社内の規則やプラクティスに従わないかもしれないと懸念している回答者が61%いた。
さらに悪いことに、オープンソースソフトウェアの利用管理手順を自動化しているとした回答者は15%にとどまっており、オープンオースソフトウェアの選定や承認のための公式なポリシーを策定していないとした回答者がほぼ半数にのぼった。このようなポリシーがない場合、セキュリティのプロフェッショナルにとって大きな死角が生み出される恐れもある。