Red Hatは最近、オープンソースソフトウェアがエンタープライズ市場の主流になっていることを示すレポートを発表した。オープンソースの活躍はそれだけにとどまらない。別の調査では、オープンソースソフトウェアが全ソフトウェアの80~90%で使われていることが明らかになっている。このことがあまり知られていないのは、使用されているオープンソースコンポーネントが、プログラムの中に深く埋もれていることが多いためだ。今回、The Linux Foundationの「Core Infrastructure Initiative」(CII)プロジェクトとハーバード大学イノベーション科学研究所(LISH)は、「Vulnerabilities in the Core, Preliminary Report and Census II of Open Source Software」と題したレポートで、もっともよく使われているコンポーネントと、それらのコンポーネントが共通して持っている脆弱性を明らかにしている。
この「Census II」と呼ばれる調査は、この種のものとしては初めての大規模なものだが、分析結果はまだ最終的なものではない。この調査は、オープンソースソフトウェアの構造やセキュリティの複雑さを理解し、問題に対処する方法を提示するための重要な第一歩だ。このレポートでは、本番アプリケーションでもっとも一般的に使用されているFOSS(フリーソフトウェアおよびオープンソースソフトウェア)コンポーネントを特定し、潜在的な脆弱性について検討している。
CIIとLISHは、この調査を行うにあたって、SnykやSynopsys Cybersecurity Research Centerなどのソフトウェアコンポジション解析(SCA)の企業や、アプリケーションセキュリティ企業とパートナーシップを組んだ。分析では、非公開の利用状況データと公開されているデータセットを組み合わせることで、200以上のもっともよく使用されているオープンソースソフトウェアプロジェクトを特定している。
このリストに挙がったソフトウェアは、普通の人が思い浮かべるであろうApacheやMySQL、Linuxなどではない。基盤にとって非常に重要な存在であるにも関わらず、実際にもっともよく使われているのは、構成要素となっている小規模なプログラムだ。
これらのソフトウェアのサイズは小さく、コードの行数が100行未満のものさえあるが、これらは必要不可欠なものばかりだ。ハーバードビジネススクールの教授であり、Census IIプロジェクトの共同ディレクターを務めるFrank Nagle氏は、次のように述べている。
「長い間、FOSSは趣味のエンジニアや日曜大工的なプログラマーのものだと考えられてきた。しかし今や、FOSSは現代の経済に不可欠な要素になっており、スマートフォンや自動車、IoT(モノのインターネット)、数多くの重要インフラなどの、日常的に利用される技術の基礎を構成している。どのコンポーネントがもっともよく使われており、どれがもっとも脆弱かを把握することは、エコシステムとデジタル経済の健全性を維持することにつながる」