企業のオープンソース利用急増、16件中1件に脆弱性など危険増大

企業がダウンロードしているオープンソースコンポーネントの6.1%に既知の脆弱性があり、アプリケーションのコンポーネント分析でも6.8%に脆弱性が見つかった。

» 2016年07月12日 07時48分 公開
[鈴木聖子ITmedia]

 オープンソースコンポーネントを使ってアプリケーションを開発する企業が増える中、脆弱性のあるコンポーネントが本番環境に入り込む危険性も高まっているという。ソフトウェアサプライチェーン自動化を手掛ける米Sonatypeが7月11日に発表した報告書で、その実態が浮き彫りになった。

 報告書は、Sonatypeが運営するCentral Repositoryからダウンロードリクエストのあったソフトウェアコンポーネント310億件の分析などをもとにまとめた。

 それによると、オープンソースコンポーネントのダウンロードリクエストの件数は2015年に310億件に達し、前年の170億件から82%から激増した。

オープンソースコンポーネントの動向(Sonatypeより)

 企業によるダウンロード件数は年間平均で22万9000件。しかし、そうしたオープンソースコンポーネントの6.1%(16件中1件)に、既知の脆弱性が存在していることが分かった。

 Sonatypeはさらに、2万5000本のアプリケーションについても使われているソフトウェアコンポーネントを分析した。その結果、6.8%のコンポーネントに少なくとも1件の既知の脆弱性が発見されたといい、質の低いコンポーネントが本番環境に入り込んでいる実態が判明した。特に、3年以上たった古いコンポーネントは脆弱性が存在する確率が3倍を超えていたという。

 SonatypeはForresterの報告書を引用して、「全てのコンポーネントは恩恵だけでなくリスクももたらす。そうしたリスクを管理するため、最良のコンポーネントやサプライヤーを選択し、選択したコンポーネントは最新かつ最もセキュアなバージョンのみを使うよう気を配る必要がある」と助言している。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ