シノプシス調査、ソフトウェア・サプライチェーンで使用されているオープンソース・コンポーネントに潜むリスク管理にあたっての重要課題

2,400を超す商用ならびに内製のコードベースを調査した結果、オープンソースに潜むライセンス上の問題や脆弱性のリスクに減少がみられるものの、企業/団体の88%では使用中のオープンソースに対して継続的なアップデートがなされていないことが判明

シノプシスは本日、2022 オープンソース・セキュリティ&リスク分析（OSSRA：Open Source Security and Risk Analysis）レポートを公表した。この報告書は、シノプシスのBlack Duck® 監査サービス部門が、企業/団体が買収などで入手した2,400を超す商用ならびに内製コードベースを調査した結果をシノプシス サイバーセキュリティ・リサーチ・センター(*1)（CyRC）が分析し所見をまとめたものである。
　　　　　　　
報告書では商用もしくは内製アプリケーションへのオープンソース・ソフトウェア利用にあたってのトレンドが明らかとなっており、開発者が相互に連携したソフトウェア・エコシステムの現状を、よりよく理解するための指針となる洞察も記載されている。また、脆弱性、旧バージョンのコンポーネントや放置状態のコンポーネント、ライセンス・コンプライアンス違反など、適切な管理がなされていないオープンソースによって引き起こされるリスクについても詳しく解説されている。
　　　　　　　　
2022年OSSRAレポートでは、オープンソースは全ての業界にまたがるあらゆるソフトウェアで使用されており、今日提供されている全てのアプリケーションの根幹をなすものとなっているという事実が明確となった。
　　　　　　
●脆弱性が指摘されているLog4jも含め、旧式のオープンソースが当たり前のように使用され続けている
運用上のリスクないしメンテナンスの観点から見ると、2,097のコードベースの85%には、過去4年以上開発活動実績のなかったオープンソースが含まれていた。また88%は、最新バージョンではないオープンソース・コンポーネントを使用しており、15％からは脆弱性を残したままのバージョンのLog4jが検出された。
　　　　　　　
●調査対象のコードベース全体としては、オープンソースの脆弱性は減少している
2,097のコードベースに対してセキュリティ/リスク診断を行った結果、高リスクな脆弱性を抱えたオープンソースが組み込まれているコードベースの数は大幅に減少している。2021年の調査ではコードベースの60%から1つ以上の高リスクな脆弱性が検出されたが、今年は49%だった。一方、81%のコードベースからは1つ以上の既知のオープンソース脆弱性が検出されており、2021年の調査からの減少幅は僅か3%に過ぎない。
　　　　　　　　
●ライセンス条件の競合も全体的に減少している
コードベースの半分以上（53%）にはライセンス条件の競合が確認されたが、2020年調査結果の65%からは大きく減少している。全体的にライセンス問題は、2020年から2021年にかけての調査でも減少傾向にある。
　　　　　　　
●コードベースの30%には、ライセンスがないまたはカスタム・ライセンスを使用したオープンソースが含まれていた
ソフトウェア・ライセンスは、そのソフトウェアの使用権を規定するものであり、ライセンスのないオープンソースの使用は、法的リスクを抱え込むジレンマとなる。またオープンソースのカスタム・ライセンスは、ライセンシーにとって好ましくない条件が付加されたものである可能性があるため、知的財産権(IP)の侵害あるいはその他の予測される事態について法的側面からの評価が必要になるケースが多い。
　　　　　　　　
シノプシス Cybersecurity Research Center プリンシパル・セキュリティ・ストラテジスト Tim Mackeyは、次のように述べている。
「ソフトウェア・コンポーネント解析（SCA）ツールのユーザーは、オープンソースのライセンスの問題や高リスクな脆弱性の削減に注力してこられました。その結果がそれらの減少という今年の調査結果に表れています。一方で依然として、調査対象のコードベースの半数以上からライセンスの問題点が検出され、約半数に高リスクな脆弱性が潜んでいたというのも事実です。さらに問題なのは、リスク診断を行ったコードベースの88%は、アップデートやパッチが利用可能になっているにも関わらず、それらが施されていない旧バージョンのオープンソース・コンポーネントを使用しているという点です」
　　　　　　　
またこうも述べている。
「適切なアップデートが行われていないのには、止むを得ない背景もあります。しかし、コードベース内のオープンソース資産が適切なものではない、あるいはアップデートがなされていない状況が継続すれば、それらのコンポーネントは、高リスクなセキュリティ上の弱点として認識されるまで忘れ去られることになります。そうした攻撃が起こってしまうと、それらが使われている箇所を直ちに特定してアップデートを施さねばならなくなるのです。Log4jで発生した事態がまさにそれです。このことは、ソフトウェア・サプライチェーンとソフトウェア部品表（SBOM）の管理が如何にホットな課題かということを物語っています」
　　　　　　
2022 オープンソース・セキュリティ&リスク分析（OSSRA）レポートのダウンロード
https://www.synopsys.com/ja-jp/software-integrity/resources/analyst-reports/open-source-security-risk-analysis.html?cmp=pr-sig&utm_medium=referral

（*1）シノプシス サイバーセキュリティ・リサーチ・センター
https://www.synopsys.com/software-integrity/cybersecurity-research-center.html?cmp=pr-sig
　　　　　　　
シノプシス　ソフトウェア・インテグリティ・グループ
https://www.synopsys.com/ja-jp/software-integrity.html