シノプシスは、シノプシス Black Duckグループによる「2018オープンソース・セキュリティ&リスク分析(2018 Open Source Security and Risk Analysis)」の調査結果を発表した。
同分析レポートは、2017年に匿名データ化した1100以上の商用コードベースの調査結果を分析したもので、対象となった産業は、自動車、ビッグデータ、サイバーセキュリティ、企業ソフトウェア、金融サービス、医療、IoT、製造、モバイルアプリ関連のグローバル企業500社。
調査により、アプリケーションの96%にオープンソースソフトウェア(以下OSS)が使用されていることや、コードベースの78%に1件以上の脆弱性が含まれていることが判明した。
OSSの使用は年々増加を続け、アプリケーション1つ当たり平均257のOSSコンポーネントが存在することがわかった。コードベースがOSSである割合は平均57%となり、前年の36%より大幅に増加。所有権で保護されたコードよりも多くなったことがわかる。
産業別では、自動車で平均53%以上、IoT関連では平均77%がOSSを使用しており、IoTアプリケーションに関しては1つのアプリケーションに対して平均677件の脆弱性が発見された。
「コードベースに脆弱性が1件以上含まれているのが全体の78%となり、コードベース1つあたりに存在する脆弱性は平均64件、これは昨年から134%増加している。
さらに、見つかった脆弱性の54%以上が深刻度の高いもの。これは非常に大きなリスクである」と、シノプシスのシニアテクノロジーエバンジェリストであるティム・マッケイ氏。
また、調査を実施したコードベースの85%に、ライセンスに抵触するものや、不明のライセンスが存在したこともわかった。その内44%がGPL(General Public License)の違反で、ティム・マッケイ氏は「これは著作権の対応が重要な対策として出てくる」という。
「セキュリティとは、究極的には正しい技法を選んでリスクに対応すること。プロプライエタリ・コード、オープンソース、実行中のアプリ、それぞれに合わせたベストなセキュリティ技術を選択すべき」とティム・マッケイ氏は説明した。
▲シノプシスのシニアテクノロジーエバンジェリスト、ティム・マッケイ氏