IoTではアプリケーション1つ当たり平均677件の脆弱性が見つかった。この数字だけ見ると事態は深刻に思えるが、「セキュリティ上高いリスクを伴うコードの割合」は15%となる。
むしろ、インターネット&ソフトウェアインフラストラクチャ(67%)、インターネット&モバイルアプリ(60%)、サイバーセキュリティ(41%)、コンピュータハードウェア&半導体(22%)といった業界の方が、高い比率で高リスクのコードを含んでいた。
OSS利用に当たってもう1つ注意しなければならないのはライセンス違反だ。これを放置すると訴訟、あるいは知的財産が影響を受ける可能性がある。だが調査したソフトウェアコードの74%で、GPL(General Public License)違反をはじめとする何らかのライセンス違反を抱えていることが明らかになった。IoT業界でも、ライセンスに抵触するコンポーネントが含まれている割合は75%だった。
Synopsysは、コードの中に数百個という単位でオープンソースのコンポーネントが含まれている現状を踏まえると、スプレッドシートなどの手作業でライセンスを管理し続けるのは困難であり、「自動化プロセスを用意しない限り、おそらく無理だろう」と指摘している。
こうした結果の背景には、「更新プログラムが自動的にユーザーに送られる商用ソフトウェアとは異なり、オープンソースでは(ユーザー側が能動的に取得する)プルサポートモデルが採用されている」状況があるという。
また、社内の開発者だけでなくサードパーティーや外部の開発チームなど、さまざまな経路を介してコードの中にオープンソースが入ってくることを踏まえ、「利用しているOSSを把握する」「そこに含まれる脆弱性を追跡し、更新・修正する方法を整えておく」ことが重要だとしている。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR