また、自社がオープンソースのライセンス規約に準拠しているとした回答者は54%にとどまっており、既知のセキュリティ脆弱性について最新情報を得ているとした回答者も55%しかおらず、オープンソースソフトウェアに関する自社のセキュリティポリシーに準拠しているとした回答者は44%だった。
回答者の大半は、オープンソースポリシーを成功させるうえで、オープンソースソフトウェアの使用要請に対する検討や承認のためのしっかりした仕組みとともに、オープンソースコンポーネントの承認リスト(ホワイトリスト)や禁止リスト(ブラックリスト)が最も重要な要素だと考えている。
Black Duckの最高経営責任者(CEO)Lou Shipley氏は、「企業は経済性と生産性を追求するために大量のオープンソースソフトウェアを利用しているものの、現時点ではほとんどの企業でセキュリティや管理がおろそかになっている」と述べるとともに、「現在のところ、近代的なアプリケーションやアプリケーションレイヤ内のオープンソースコードの80〜90%がハッカーの主な標的になっている」と述べている。
そして同氏は、「この事実は、オープンソースコードに含まれている既知の脆弱性が、ほとんどの企業のアプリケーションにとって最大のリスクとなっていることを意味している」と続けている。
今回の調査結果を網羅したレポートは6月22日に公開される予定だ。
Black Duckの研究者らは4月に、バンキングアプリケーションにおけるオープンソースコンポーネントの利用に関して「業界の枠を越えた大きなリスク」が存在していることを明らかにした。こうしたアプリケーションの大多数には、オープンソースコンポーネントに起因する、パッチが適用されていないバグや脆弱性が含まれおり、それらのなかには4年以上前から存在していたものもあったという。また、アプリケーション単位で見た場合、1本あたり平均52個の脆弱性が発見されたという。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
