企業のオープンソース利用急増、16件中1件に脆弱性など危険増大
企業がダウンロードしているオープンソースコンポーネントの6.1%に既知の脆弱性があり、アプリケーションのコンポーネント分析でも6.8%に脆弱性が見つかった。
オープンソースコンポーネントを使ってアプリケーションを開発する企業が増える中、脆弱性のあるコンポーネントが本番環境に入り込む危険性も高まっているという。ソフトウェアサプライチェーン自動化を手掛ける米Sonatypeが7月11日に発表した報告書で、その実態が浮き彫りになった。
報告書は、Sonatypeが運営するCentral Repositoryからダウンロードリクエストのあったソフトウェアコンポーネント310億件の分析などをもとにまとめた。
それによると、オープンソースコンポーネントのダウンロードリクエストの件数は2015年に310億件に達し、前年の170億件から82%から激増した。
企業によるダウンロード件数は年間平均で22万9000件。しかし、そうしたオープンソースコンポーネントの6.1%(16件中1件)に、既知の脆弱性が存在していることが分かった。
Sonatypeはさらに、2万5000本のアプリケーションについても使われているソフトウェアコンポーネントを分析した。その結果、6.8%のコンポーネントに少なくとも1件の既知の脆弱性が発見されたといい、質の低いコンポーネントが本番環境に入り込んでいる実態が判明した。特に、3年以上たった古いコンポーネントは脆弱性が存在する確率が3倍を超えていたという。
SonatypeはForresterの報告書を引用して、「全てのコンポーネントは恩恵だけでなくリスクももたらす。そうしたリスクを管理するため、最良のコンポーネントやサプライヤーを選択し、選択したコンポーネントは最新かつ最もセキュアなバージョンのみを使うよう気を配る必要がある」と助言している。
関連記事
- OpenSSL脆弱性の再発防止へ、業界大手が重要オープンソースプロジェクトを支援
GoogleやMicrosoft、富士通などの大手が参加して、インターネットのインフラを担うオープンソースプロジェクトを資金面でバックアップする。 - Google、オープンソースのセキュリティ対応チーム「oCERT」設置
oCERTはオープンソースプロジェクトの脆弱性情報と緊急対応サービスの提供を目指す。 - オープンソースソフトは時限爆弾――MS出資のシンクタンクが批判
Linuxの生みの親は本当にトーバルズ氏なのかと問う報告書で物議を醸したシンクタンクが、オープンソースの法的リスクを指摘する報告書を作成した。(IDG) - OSSのバージョンアップ情報を無償提供――野村総研
野村総研は約50種のオープンソースソフトウェアの更新状況をソーシャルメディアなどで配信する。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.