調査

OSSに潜むセキュリティやライセンス上の問題があらゆる業界にまん延--シノプシス

NO BUDGET

2021-05-26 09:58

 シノプシスは、「2021年オープンソース・セキュリティ&リスク分析レポート(OSSRA)」を発表した。

 このレポートは、シノプシスのBlack Duck監査サービス部門が1500以上の商用コードベースを調査した結果をCybersecurity Research Center(CyRC)が分析し、所見をまとめたものになる。

 これによると、放置状態にオープンソースコンポーネントの使用がまん延していることが明らかになった。コードベース全体の91%は、過去2年間に一切の開発活動実績のなかったコンポーネントで、コードの改善や脆弱性の修正が何ら施されてこなかったオープンソース依存ファイルが組み込まれている。

 調査したコードベースのうち、4年以上前の旧バージョンのオープンソース依存ファイルを使い続けているものが85%あった。

 2020年の調査では、脆弱なオープンソースコンポーネントが組み込まれているコードベースの割合は84%で、2019年の調査から9%上昇した。同様に、高リスクのオープンソース脆弱性が組み込まれているコードベースの割合は、2019年調査の49%から2020年には60%に達している。

 また、2020年に調査したコードベースのうち、ライセンス条件の競合があるオープンソースを含んだものは65%だった。典型的なものは、GNU GPL(General Public License)と競合していたといいう。ライセンスがない、または、カスタムライセンスのオープンソースを使用しているコードベースは26%だった。

 業界別の調査結果では、CRM(顧客関係管理)システムやソーシャルメディアなどのマーケティングテック業界では、全ての企業がオープンソースをコードベースに組み込んでおり、それらのコードベースの95%には、オープンソースの脆弱性が潜んでいるという。

 同様に医療関係業界では、98%の企業が組み込み、67%の脆弱性があった。金融サービス/FinTech業界では、97%が組み込み、60%超に脆弱性があるという。リテール/Eコマース業界では、92%の企業が組み込んでおり、71%に脆弱性が潜んでいるとした。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. ビジネスアプリケーション

    生成 AI 「Gemini」活用メリット、職種別・役職別のプロンプトも一挙に紹介

  2. セキュリティ

    まずは“交渉術”を磨くこと!情報セキュリティ担当者の使命を果たすための必須事項とは

  3. ビジネスアプリケーション

    急速に進むIT運用におけるAI・生成AIの活用--実態調査から見るユーザー企業の課題と将来展望

  4. クラウドコンピューティング

    Snowflakeを例に徹底解説!迅速&柔軟な企業経営に欠かせない、データ統合基盤活用のポイント

  5. ビジネスアプリケーション

    AI活用の上手い下手がビジネスを左右する!データ&AIが生み出す新しい顧客体験へ

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]