特に金融や小売り業界などのアプリで、高リスクの脆弱(ぜいじゃく)性が数多く修正されないまま放置されているとBlack Duckが警告した。
オープンソースソフトウェアのセキュリティ対策を手掛ける米Black Duckは4月19日、企業などのアプリに使われているオープンソースコードの脆弱(ぜいじゃく)性に関する報告書を発表した。特に金融や小売り業界などのアプリで、高リスクの脆弱性が修正されないまま放置されている現状に警鐘を鳴らしている。
Black Duckでは主に企業の合併や買収に関連したオープンソースコードの監査を行っており、2016年は1071件のアプリケーションについて監査を実施した。その結果、60%以上のアプリでオープンソースに起因する脆弱性が見つかったという。
特に金融業界のアプリでは、オープンソースの脆弱性がアプリあたりの平均で約52件発見され、全体の60%に高リスクの脆弱性が含まれていた。また、小売りや電子商取引業界のアプリの場合、83%で高リスクの脆弱性が見つかったとしている。
監査対象としたアプリケーションに含まれるオープンソースコンポーネントは平均で147件。ライセンスについて把握することも難しく、実際に85%のアプリでGPLライセンス違反などのライセンスに関する問題も発見された。
「オープンソースの脆弱性悪用は、ほとんどの企業にとって最大のアプリケーションセキュリティリスクになっている」とBlack Duckは指摘。「誰もが大量のオープンソースを使っているが、自分たちのアプリケーションに存在するオープンソースの脆弱性を適切に検出・修正・監視している企業はほとんど存在しない」と警告している。
Copyright © ITmedia, Inc. All Rights Reserved.