調査

OSSに潜むセキュリティやライセンス上の問題があらゆる業界にまん延--シノプシス

NO BUDGET

2021-05-26 09:58

 シノプシスは、「2021年オープンソース・セキュリティ&リスク分析レポート(OSSRA)」を発表した。

 このレポートは、シノプシスのBlack Duck監査サービス部門が1500以上の商用コードベースを調査した結果をCybersecurity Research Center(CyRC)が分析し、所見をまとめたものになる。

 これによると、放置状態にオープンソースコンポーネントの使用がまん延していることが明らかになった。コードベース全体の91%は、過去2年間に一切の開発活動実績のなかったコンポーネントで、コードの改善や脆弱性の修正が何ら施されてこなかったオープンソース依存ファイルが組み込まれている。

 調査したコードベースのうち、4年以上前の旧バージョンのオープンソース依存ファイルを使い続けているものが85%あった。

 2020年の調査では、脆弱なオープンソースコンポーネントが組み込まれているコードベースの割合は84%で、2019年の調査から9%上昇した。同様に、高リスクのオープンソース脆弱性が組み込まれているコードベースの割合は、2019年調査の49%から2020年には60%に達している。

 また、2020年に調査したコードベースのうち、ライセンス条件の競合があるオープンソースを含んだものは65%だった。典型的なものは、GNU GPL(General Public License)と競合していたといいう。ライセンスがない、または、カスタムライセンスのオープンソースを使用しているコードベースは26%だった。

 業界別の調査結果では、CRM(顧客関係管理)システムやソーシャルメディアなどのマーケティングテック業界では、全ての企業がオープンソースをコードベースに組み込んでおり、それらのコードベースの95%には、オープンソースの脆弱性が潜んでいるという。

 同様に医療関係業界では、98%の企業が組み込み、67%の脆弱性があった。金融サービス/FinTech業界では、97%が組み込み、60%超に脆弱性があるという。リテール/Eコマース業界では、92%の企業が組み込んでおり、71%に脆弱性が潜んでいるとした。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    AIサイバー攻撃の増加でフォーティネットが提言、高いセキュリティ意識を実現するトレーニングの重要性

  2. セキュリティ

    最も警戒すべきセキュリティ脅威「ランサムウェア」対策として知っておくべきこと

  3. 運用管理

    メールアラートは廃止すべき時が来た! IT運用担当者がゆとりを取り戻す5つの方法

  4. セキュリティ

    「どこから手を付ければよいかわからない」が約半数--セキュリティ運用の自動化導入に向けた実践ガイド

  5. セキュリティ

    クラウド資産を守るための最新の施策、クラウドストライクが提示するチェックリスト

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]