Black Duck、2017 年版オープンソースセキュリティ&リスク分析レポート (OSSRA 2017)を発表

 

~ 1000を超えるオープンソースアプリケーション監査の結果、オープンソースセキュリティ脆弱性リスクへの対処において、広範囲にわたる課題を指摘小売業、電子商取引、フィンテック業界で、最もハイリスクなオープンソースのセキュリティ脆弱性を確認 ~

 

2017年5月19日 東京

オープンソースの安全性確保と管理の自動化ソリューションの分野で世界最大手のBlack Duck Software, Inc. (日本法人:ブラック・ダック・ソフトウェア株式会社、東京都渋谷区、以下Black Duck)は本日、『2017年度版オープンソースセキュリティ&リスク分析レポート(OSSRA 2017)』を公開しました。このレポートではオープンソース脆弱性およびライセンスコンプライアンス課題に関する業界共通の重大リスクを詳述しています。

OSSRA 2017のダウンロードはこちら (英語版)

Black Duckは毎年、主に企業の合併吸収に関連する数百のオープンソースコードの監査を実施しています。オープンソースリサーチ&イノベーションセンター(COSRI)は、2016年に監査を行った1,071のアプリケーションを分析した結果、アプリの96%でオープンソースを利用し、また60%以上のアプリにオープンソースセキュリティ脆弱性を含んでいることを報告しています。

特に、金融業界のアプリケーション監査結果では、1アプリケーションあたり52のオープンソース脆弱性が見つかり、アプリケーションの60%にハイリスクな脆弱性が確認されました。小売業および電子商取引業界のアプリケーションは、最も高い割合でハイリスクなオープンソース脆弱性が含まれ、監査したアプリケーションの83%にハイリスクな脆弱性が見つかっています。

オープンソースライセンスにはライセンスへの抵触が広く確認されています。監査したアプリケーションには平均して147のオープンソースコンポーネント(ライセンス義務の状態を追跡調査するには困難に思えるほどの数です)が含まれ、監査したアプリケーションの実に85%にはライセンスに抵触しているコンポーネントが含まれていました。最も多く見られる問題はGPLライセンス違反に関するもので、75%のアプリケーションがGPLファミリのライセンスの影響下にあるコンポーネントを使用していましたが、GPLの義務を遵守していたアプリケーションはそのうち45%のみでした。

Black DuckCEOLou Shipleyは次のようにコメントしています。「オープンソース利用は世界中に広がっています。今日のアプリのコードの8090%がオープンソースであることが最新の研究報告で明らかになっています。オープンソースには、開発コストを下げ、イノベーションを加速し、開発期間を短縮できるというメリット・価値があることを考えれば、この数字は当然といえるでしょう。当社の監査によって普遍的な利用が確認されると同時に、オープンソースのセキュリティ脆弱性およびライセンスコンプライアンスの問題に関連するリスクへの対策が期待するほど効果がないことも明らかになりました。アプリケーション層がハッカーの主な標的であることから、監査での発見がセキュリティ責任者にとって『気づき』となることを期待しています。オープンソース脆弱性のエクスプロイトは、多くの企業が抱えるアプリケーションの最大のセキュリティリスクです」

Black Duckで北アイルランドを拠点とするCOSRIセキュリティ研究部門、オープンソースセキュリティ研究グループ責任者、Chris Fearonは次のようにコメントしています。「この報告書の内容を、警鐘とすべきです。誰もが大量のオープンソースを利用していますが、この監査が明らかにしたように、適切にオープンソースコンポーネントおよびアプリケーションの脆弱性を検出、修正、監視している人は少ないのです。この監査でのCOSRI分析は、どの業界の組織も、オープンソースを効果的に管理するためには、先に長い道のりが待っていることを示しています」