日本シノプシスは5月19日、オープンソースソフトウェア(OSS)のセキュリティやリスクなどを分析した、2022年の「Open Source Security and Risk Analysis(OSSRA)」レポートを解説する記者説明会を開催した。
米本社のSynopsysが2021年に監査した2409のコード中、1つ以上の脆弱性を発見したコードは81%、ライセンス条件の競合を見つけたコードは53%、4年以上昔のコンポーネントを使い続けているコードは85%におよんでいる(脆弱性と保守の母数は2097)。
日本シノプシス ソフトウェア・インテグリティ・グループ シニア・セキュリティ・エンジニア 吉井雅人氏
調査結果から浮かび上がったOSS開発者の厳しい状況に対して、日本シノプシス ソフトウェア・インテグリティ・グループ シニア・セキュリティ・エンジニア 吉井雅人氏は「企業としても(開発者への)フィードバックや支援に取り組むべきだ」と指摘した。
セキュリティ予算の削減で2020年は悪化
電子設計自動化(EDA)や半導体IPなどを手掛けるSynopsysは、Black Duck買収に伴うソフトウェア資産の監査を請け負っており、その一環としてOSSの脆弱性やライセンスの競合など、ソフトウェア品質をCybersecurity Research Center (CyRC) が解析し、結果をレポートして発表している。
今年で7回目を数えるレポートでは、昨年2021年から64%増の2400を超える商用ソフトウェアの利用状況を調査したところ、OSSを含むコードの割合は97%(前年比1ポイントアップ)、全コードに占めるOSSの割合は78%(前年比3ポイントアップ)と圧倒的。「OSSを含まないコードはまれ。ほぼ皆無」(吉井氏)である。
公開を前提としないプロプライエタリコードも皆無ではないが、数値で見れば22%前後。他のソリューションが公開するAPIの利用や設定情報で、動作を左右させるのが現在のアプリケーションを現す姿だ。吉井氏も「この傾向は持続する」と見ている。
OSS脆弱性の推移
※クリックすると拡大画像が見られます
上図は2016年から2021年までのOSSから発見された脆弱性を含むコードの割合だが、2018年以降は増加傾向にあり、昨年ようやく落ち着いた。高いリスクを含んだコードの割合も同様だ。この改善理由について吉井氏は以下のように分析する。
「セキュリティ予算の削減も相まって2020年は悪化。2021年は米国大統領がサイバーセキュリティの改善に努める大統領令に署名し、(ソフトウェアの部品表にあたる)ソフトウェアBOM(部品表)の作成やOSSのリスク管理に取り組んだ結果」
コードあたりのOSSコンポーネント(部品)数も2020年は528ポイントだが、2021年は408ポイントに減少。それに伴ってコードあたりの平均脆弱性の数も減少しているが、「アプリケーションサイズも限界があり、500前後が一つの上限」(吉井氏)
OSSライセンス競合の推移
※クリックすると拡大画像が見られます
こちらは各OSSが採用するライセンスが競合していないか、もしくはライセンスに違反した状態でOSSを使用していないか表したグラフである。下段では30%の割合が「ライセンスがない~」状態を示しているが、Apacheなどライセンスを定めていない場合、コーディングした人物の著作物となるため、コードの複製や再頒布は著作権法に抵触しかねない。企業としては「非常に危険なもの」(吉井氏)になってしまう。
