シノプシスが「2020年 オープンソース・セキュリティ&リスク分析レポート」を公開
商用アプリで進むOSS活用、ライセンス/脆弱性管理が飽和状態に
2020年06月02日 07時00分更新
日本シノプシスは2020年5月28日、「2020年 オープンソース・セキュリティ&リスク分析(OSSRA)レポート」日本語版を公開した。昨年(2019年)、同社が監査した1250を超える商用アプリケーションのほぼすべて(99%)で、1つ以上のオープンソースソフトウェア(OSS)コンポーネントが使われていた。現在では監査したコードベースの70%をOSSが占めるようになっており、1つの商用アプリに含まれる平均OSSコンポーネント数も大幅に伸びている。
その一方で、多くの課題が改善されずに残っていることも指摘されている。監査対象のアプリの多くでは、すでに開発終了しているもの、脆弱性が指摘されているもの、ライセンス/使用条件があいまいなものも見つかっている。記者説明会では、現代のアプリケーション開発で欠かせない要素となったOSSとの“良い付き合い方”も紹介された。
シノプシス「2020年 オープンソース・セキュリティ&リスク分析(OSSRA)レポート」分析結果の概要
商用アプリに含まれるOSSコンポーネントの数は2年でほぼ倍増
OSSRAレポートは、ソフトウェアの資産価値や法的リスク/セキュリティリスク/品質リスクを調査する「Black Duck監査サービス」で分析/監査を実施した商用アプリケーションのコードベースを対象に、シノプシス サイバーセキュリティ・リサーチセンター(CyRC)が分析を行った結果をまとめた年次レポートだ。今回の2020年版では、2019年に同社が監査した1253件の商用アプリケーションを分析対象としている。
日本シノプシス ソフトウェア・インテグリティ・グループ シニアセキュリティエンジニアの吉井雅人氏は、現在の商用アプリケーション開発とOSSコンポーネントの関係について、次のように説明する。
「今どきのアプリケーションは、自社開発ソフトに加えて、OSSコンポーネントやAPI、コンフィギュレーションを組み合わせるのが当たり前。特に昨年(2019年)は、エンタープライズソフトウェアやSaaS分野からの監査依頼が増えた。テクノロジー進化の速い分野では、差異化できない共通部分については積極的にOSSを使う傾向が強い」(吉井氏)
コードベース(商用アプリケーション)1つあたりに含まれるOSSコンポーネントの数/割合も年々増加している。同社の監査対象の場合、2017年は平均で257(57%)だったのが、2019年には平均445(70%)とほぼ倍増している。
監査したコードの70%がOSSという結果に。2015年の第1回調査から5年で割合が倍増
数が倍増した背景には、JavaScriptコンポーネントが多く使われるようになったことがあるという。今回の調査では、使用言語としてJavaScriptが1位(51%)となり、2位のC++(10%)を大きく引き離した。また使用率の高いOSSコンポーネントのランキングでも、jQuery(55%)、Bootstrap(40%)、Font Awesome(31%)、Lodash(30%)、jQuery UI(29%)など、JavaScriptによるものが上位を占める。
吉井氏は、監査対象にWebアプリが多いことが前提にあるとしたうえで、「多数のJavaScriptコンポーネントをパッケージ化したNode.jsが広く利用されているのも、こうした結果が出た要因のひとつ」だと分析する。
監査対象の半分以上(55%)がjQueryを使用しており、そのほかもJavaScriptで開発されたOSSコンポーネントの人気が高い
