シノプシスによる調査の結果、商用ソフトウェアに含まれている脆弱性、時代遅れもしくは放置状態のオープンソース・コンポーネントの増加が明らかに

1,500を超す商用のコードベースを調査した結果、オープンソースに潜むセキュリティやライセンス上の問題、メンテナンス上の問題があらゆる業界で蔓延していると判明

シノプシスは本日、2021年 オープンソース・セキュリティ&リスク分析（OSSRA）レポートOpen Source Security and Risk Analysis (OSSRA)を公表した。この報告書は、シノプシスのBlack Duck 監査サービス部門が1,500を超す商用コードベースを調査した結果をシノプシス Cybersecurity Research Center（CyRC）が分析し所見をまとめたものである。
　　　
報告書では商用アプリケーションへのオープンソース・ソフトウェア利用にあたってのトレンドが明らかとなっており、商用アプリケーションやオープンソース・ソフトウェアの開発者が相互に連携したソフトウェア・エコシステムの現状を、よりよく理解するための指針となる洞察も記載されている。また、適切な管理がなされていないオープンソースによって引き起こされるリスクについても詳しく解説されている。セキュリティ脆弱性がある、時代遅れである、放置状態であるといった問題や、ライセンス・コンプライアンス違反といった問題である。
　　　
2021年OSSRAレポートでは、オープンソース・ソフトウェアがあらゆる業界にわたって使われている大多数のアプリケーションの根幹を担っている事実が確認されている。またこうした業界では、程度の差こそあれオープンソースがもたらすリスクへの対処に苦慮している事実も明らかとなった。

• 見込み客情報を生成するCRMシステムやソーシャルメディアなどのマーケティング・テック業界では、全ての企業がオープンソースをコードベースに組み込んでいる。それらのコードベースの95%には、オープンソースの脆弱性が潜んでいる。
• 医療関係業界では、98%の企業がオープンソースをコードベースに組み込んでいる。それらのコードベースの67%にはオープンソースの脆弱性が潜んでいる。
• 金融サービス/フィンテック業界では、97%の企業が、オープンソースをコードベースに組み込んでいる。それらのコードベースの60%超には、オープンソースの脆弱性が潜んでいる。
• リテール/eコマース業界では、92%の企業が、オープンソースをコードベースに組み込んでいる。それらのコードベースの71%には、オープンソースの脆弱性が潜んでいる。

より深刻な懸念は、放置状態になったオープンソース・コンポーネントの使用が蔓延していることである。憂慮すべきことに、コードベース全体の91%には、過去2年間一切開発活動実績のなかったコンポーネント、すなわちコードの改善や脆弱性の修正が何ら施されてこなかったオープンソース依存ファイルが組み込まれている。
　　　
シノプシス　Cybersecurity Research Center　プリンシパル・セキュリティ・ストラテジスト　Tim Mackeyは、次のように述べている。
「90%を超すコードベースで過去2年間一切開発活動実績のなかったオープンソースが使用されているという事実に驚きはありません。ベンダーからユーザーに情報提供がなされる商用ソフトウェアとは異なり、オープンソースの健全性は開発者コミュニティの関与の度合いに依存します。開発者コミュニティによるアップデートがないままオープンソースが商用ソフトウェアに組み込まれた場合、オープンソースに依存した開発プロジェクトの生命力はいとも簡単に崩れ去ります。管理者不在となったプロジェクトの存在は目新しいものではありませんが、セキュリティの課題に対処するとなると、問題は深刻化します。解決策はシンプルです。成功を確かなものとするためには、皆さんが依存しているオープンソース・プロジェクトを維持するための投資を惜しまないことです」
　　　
2021年OSSRAレポートで明らかになったその他のオープンソース・リスク・トレンドの中で注目すべきいくつかの点は、下記の通りである。

• 時代遅れのオープンソース・コンポーネントが商用ソフトウェアに組み込まれている状況が常態化
  調査したコードベースのうち、4年以上前の旧バージョンのオープンソース依存ファイルを使い続けているものが85%あった。放置状態のプロジェクトとは異なり、こうした時代遅れのオープンソース・コンポーネントには、活動を続けている開発者コミュニティが存在するものの、彼らによるソフトウェア・アップデートやセキュリティ・パッチは、利用者である顧客によって適用されていない。パッチが当てられないことがセキュリティ・リスクに直結するという明白な事実以上に深刻なのは、時代遅れのオープンソース・コンポーネントを用いることによって、技術的に手に負えないツケを払い続けなければならなくなる事態を招きかねないという点である。それは将来のソフトウェア・アップデートの際に、機能的あるいは互換性の問題として顕在化してくる。
• 脆弱性を抱えたオープンソースの普及により引き起こされる間違った方向性
  2020年の調査では、脆弱なオープンソース・コンポーネントが組み込まれているコードベースの割合は84%で、2019年調査から9%上昇した。同様に高リスクのオープンソース脆弱性が組み込まれているコードベースの割合は、2019年調査の49%から大きく増え、2020年には60%に達している。2019年調査でコードベースに見つかった上位10のオープンソース脆弱性のうちのいくつかは、2020年調査でも上位10にランクインしており、これらが見つかったコードベースの割合はいずれも去年から大きく増加している。
• 調査したコードベースの90%以上に、ライセンス条件の競合がある、カスタム・ライセンスまたはライセンスがないオープンソース・コンポーネントが組み込まれている
  2020年に調査したコードベースのうち、ライセンス条件の競合があるオープンソースを含んだものは65%だった。典型的なものは、GNU GPL（General Public License）と競合していた。また、ライセンスのない、またはカスタム・ライセンスのオープンソースを使用しているコードベースは26%あった。こうした問題は、著作権侵害ないし訴訟のリスクの観点から精査されるべきである。特に、合併・買収取引などでは、そのことが懸念材料となることがある。