シノプシスが「2020年 オープンソース・セキュリティ&リスク分析レポート」を公開
商用アプリで進むOSS活用、ライセンス/脆弱性管理が飽和状態に
2020年06月02日 07時00分更新
日本シノプシスは2020年5月28日、「2020年 オープンソース・セキュリティ&リスク分析(OSSRA)レポート」日本語版を公開した。昨年(2019年)、同社が監査した1250を超える商用アプリケーションのほぼすべて(99%)で、1つ以上のオープンソースソフトウェア(OSS)コンポーネントが使われていた。現在では監査したコードベースの70%をOSSが占めるようになっており、1つの商用アプリに含まれる平均OSSコンポーネント数も大幅に伸びている。
その一方で、多くの課題が改善されずに残っていることも指摘されている。監査対象のアプリの多くでは、すでに開発終了しているもの、脆弱性が指摘されているもの、ライセンス/使用条件があいまいなものも見つかっている。記者説明会では、現代のアプリケーション開発で欠かせない要素となったOSSとの“良い付き合い方”も紹介された。
シノプシス「2020年 オープンソース・セキュリティ&リスク分析(OSSRA)レポート」分析結果の概要
商用アプリに含まれるOSSコンポーネントの数は2年でほぼ倍増
OSSRAレポートは、ソフトウェアの資産価値や法的リスク/セキュリティリスク/品質リスクを調査する「Black Duck監査サービス」で分析/監査を実施した商用アプリケーションのコードベースを対象に、シノプシス サイバーセキュリティ・リサーチセンター(CyRC)が分析を行った結果をまとめた年次レポートだ。今回の2020年版では、2019年に同社が監査した1253件の商用アプリケーションを分析対象としている。
日本シノプシス ソフトウェア・インテグリティ・グループ シニアセキュリティエンジニアの吉井雅人氏は、現在の商用アプリケーション開発とOSSコンポーネントの関係について、次のように説明する。
「今どきのアプリケーションは、自社開発ソフトに加えて、OSSコンポーネントやAPI、コンフィギュレーションを組み合わせるのが当たり前。特に昨年(2019年)は、エンタープライズソフトウェアやSaaS分野からの監査依頼が増えた。テクノロジー進化の速い分野では、差異化できない共通部分については積極的にOSSを使う傾向が強い」(吉井氏)
コードベース(商用アプリケーション)1つあたりに含まれるOSSコンポーネントの数/割合も年々増加している。同社の監査対象の場合、2017年は平均で257(57%)だったのが、2019年には平均445(70%)とほぼ倍増している。
監査したコードの70%がOSSという結果に。2015年の第1回調査から5年で割合が倍増
数が倍増した背景には、JavaScriptコンポーネントが多く使われるようになったことがあるという。今回の調査では、使用言語としてJavaScriptが1位(51%)となり、2位のC++(10%)を大きく引き離した。また使用率の高いOSSコンポーネントのランキングでも、jQuery(55%)、Bootstrap(40%)、Font Awesome(31%)、Lodash(30%)、jQuery UI(29%)など、JavaScriptによるものが上位を占める。
吉井氏は、監査対象にWebアプリが多いことが前提にあるとしたうえで、「多数のJavaScriptコンポーネントをパッケージ化したNode.jsが広く利用されているのも、こうした結果が出た要因のひとつ」だと分析する。
監査対象の半分以上(55%)がjQueryを使用しており、そのほかもJavaScriptで開発されたOSSコンポーネントの人気が高い
本記事はアフィリエイトプログラムによる収益を得ている場合があります
