Dev、Sec、Opsでの責任共有の推進は47％が未実施も前進――企業のOSSセキュリティに関するSnykレポート：Node、PostgreSQL、MySQL、nginxなど公式コンテナイメージは安全ではない

セキュリティ企業のSnykは、オープンソースソフトウェアのセキュリティ状況に関する年次レポートの最新版「State of Open Source Security Report 2020」を公開した。

[＠IT]

　ソフトウェアコンポジション解析（SCA）ツールを手掛け、オープンソースソフトウェア（OSS）のセキュリティ支援などを行うSnykは2020年6月24日（米国時間）、OSSのセキュリティ状況に関する年次レポートの最新版「State of Open Source Security Report 2020」（以下、2020年レポート）を公開した。

　Snykは、同レポートのベースになったデータ分析結果の最も重要なハイライトとして、下記5つを挙げている。

• 企業におけるセキュリティのマインドセットおよび文化が改善している
• 人気の高いOSSパッケージングソフトで見つかった新しい脆弱（ぜいじゃく）性の件数が減少している
• 脆弱性の報告件数とプロジェクトへの影響度は相関しない
• 公式イメージをコンテナに使っても、一般的なセキュリティ対策の代わりにはならない
• 脆弱性の修正にかかる期間は、コミュニティーの期待にあまり沿っていない

　以下では、Snykが2020年レポートの作成のために収集、分析したデータの概要を示した上で、これらの各ハイライトについて説明する。

レポートで分析されたデータ

• Snykとそのパートナーが作成、配布した調査のデータ。500人超の開発者、セキュリティ担当者、運用エンジニアが回答した
• Snykの脆弱性データベースの内部データに加え、Snykがモニタリングおよび保護している数十万のプロジェクトから収集された相関データ
• 「GitHub」「GitLab」「BitBucket」などの数百万のリポジトリをスキャンした結果の集計データなど、さまざまなソースによって公開された調査やデータ

セキュリティ文化の改善

　2020年レポートでは、「企業内のセキュリティ対策の責任は誰が負うのか」に関する企業の認識が明確に変わっているという。