Black Duck Software(Black Duck)は、コミュニティや関連組織団体と連携して、「責任あるオープンソースとはどういうものであるのか」を理解しようとしています。そのプロセスの一環として、私たちはオープンソースコミュニティとの関係のあり方を考えています。なぜなら、開発コミュニティの現在を理解するためにも、より良いコードの構築方法を伝えるためにも、オープンソースコミュニティが重要な役割を果たしているからです。
Black Duckのオープンソースリサーチ&イノベーションセンター(COSRI)は今年、「オープンソースセキュリティ&リスク分析レポート」(OSSRA)をリリースしました。このレポートは、Black Duck オンデマンド監査チームが行った1000以上の顧客を対象とした調査で得られたデータが基になっています。その結果を踏まえて、私たちは「オープンソース360度調査」の結果を公表しました。
◆ ◆ ◆
オープンソース360度調査では、オープンソースソリューションの提供者や担当者、利用者を対象としています。この調査の目的は、オープンソースソフトウェアの開発が盛んで重要なエリアと、オープンソースが成長を続ける際のリスクと課題を明らかにすることでした。
今回の調査では、全世界で800以上の回答が得られました。回答者の業種は、金融サービス業界やメーカー、リテール業界、テクノロジー企業まで多岐にわたっています。オープンソースの急速な普及を遂げた2016年以降も、回答者の60%近くがオープンソースコードを使うことが多くなったと答えています。回答者がオープンソースの使用を決めた2つの大きな理由は「ベンダーロックインがないこと」「カスタマイズが可能なこと」だと思われます。
オープンソースの開発は、現在の組織の標準的な活動となっています。その主な理由は、開発スピードを高めながら、ソフトウェアの金銭的な負担を軽減できるところにあります。金銭的な負担の軽減は、提携先と協力して負うべき責任に相殺されるものであり、適切な対策を取らなければ、セキュリティとコンプライスの両面でのリスクが増大します。
オープンソースコンポーネントを使いながらリスクを軽減する
私は「誰もが『フリーソフトがリスクフリーだ』という意味ではないことは分かっている」とよく言うのですが、これが当てはまらない場合もあります。今年、講演したどのイベントでも「オープンソースコンポーネントが自社の環境に含まれていることを知らなかった」と告白する出席者が、少なくとも1人はいました。この発言をセキュリティの観点で言い換えると、どのイベントでも「少なくとも1人の出席者が、自社のシステム環境内に攻撃対象領域があることを正しく認識していなかった」ということになります。
私たちの調査では、オープンソースの脆弱性に危機感を抱いている回答者は「侵入されるリスクが、内部のアプリケーション(回答率64%)と外部のアプリケーション(71%)の両方にある」と答えています。ツールを使ってオープンソースのスキャンを行っている回答者は50%ほどで、回答者の38%がオープンソースのコードを全く検証していませんでした。
OSSRAレポートと併せて見ると、オープンソースコンポーネントを利用している組織の多くはオープンソースソフトウェアの恩恵を受けながら、リスクを緩和できる大きなチャンスがあることが分かります。リスクの軽減で重要なのは、自動化ツールを使ってコードベースの中のオープンソースをはっきりと識別することです。残念ながら、調査の回答者たちにはこの方法はあまり浸透していませんでした。
(Black Duck Software ティム・マッキー)
オートメーション新聞は、1976年の発行開始以来、45年超にわたって製造業界で働く人々を応援してきたものづくり業界専門メディアです。工場や製造現場、生産設備におけるFAや自動化、ロボットや制御技術・製品のトピックスを中心に、IoTやスマートファクトリー、製造業DX等に関する情報を発信しています。新聞とPDF電子版は月3回の発行、WEBとTwitterは随時更新しています。
