「ITシステムだけでなくInternet of Things(IoT)の分野でもオープンソースソフトウェア(OSS)の採用が広がっており、いくつかのリスクが懸念される」――半導体設計ツール(EDA)を手掛ける米SynopsysのBlack Duck Softwareは毎年、さまざまな商用ソフトウェアに含まれるOSSのセキュリティやライセンスコンプライアンスに関するレポート「Open Source Security and Risk Analysis」(OSSRA)を発表している。
6月に発表した最新版「2018 OSSRA」は、同社が2017年に1100を超える商用ソフトウェアのコードに対して実施した監査の結果を基にまとめたレポートだ。監査の対象はいわゆるITシステム・企業システムやモバイルアプリ、ゲーム・エンターテインメント業界だけでなく、IoTや製造、自動車、医療など多岐にわたっている。
これによると、商用ソフトウェアのうち96%が何らかのOSS、あるいはオープンソースのコンポーネントを含んでいることが明らかになった。IoTアプリケーションに限っても、77%にオープンソースコンポーネントが含まれる結果となった。
アプリケーション1つ当たりでみると、平均257個のオープンソースコンポーネントが存在しているという。開発コストを低減し、市場に製品を投入するまでの時間を短縮できる他、革新的な技術の開発を早められるOSSの利点が評価された結果といえる。
ただ、それに伴って懸念されるのが脆弱性の存在だ。調査対象となったソフトウェアの78%は、少なくとも1つ以上のOSSに由来する脆弱性が含まれていた。コード単位で見ると平均64件の脆弱性が含まれていたという。
しかも、監査で見つかった脆弱性がいつ発覚したものかを調べると、平均で6年前だった。Synopsysは、古い脆弱性が残ったまま、新たな脆弱性も積み上がりつつあると指摘している。
興味深いのは業界ごとの比較だ。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR