Dev、Sec、Opsでの責任共有の推進は47%が未実施も前進――企業のOSSセキュリティに関するSnykレポートNode、PostgreSQL、MySQL、nginxなど公式コンテナイメージは安全ではない

セキュリティ企業のSnykは、オープンソースソフトウェアのセキュリティ状況に関する年次レポートの最新版「State of Open Source Security Report 2020」を公開した。

» 2020年07月06日 17時00分 公開
[@IT]

この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。

 ソフトウェアコンポジション解析(SCA)ツールを手掛け、オープンソースソフトウェア(OSS)のセキュリティ支援などを行うSnykは2020年6月24日(米国時間)、OSSのセキュリティ状況に関する年次レポートの最新版「State of Open Source Security Report 2020」(以下、2020年レポート)を公開した。

 Snykは、同レポートのベースになったデータ分析結果の最も重要なハイライトとして、下記5つを挙げている。

  • 企業におけるセキュリティのマインドセットおよび文化が改善している
  • 人気の高いOSSパッケージングソフトで見つかった新しい脆弱(ぜいじゃく)性の件数が減少している
  • 脆弱性の報告件数とプロジェクトへの影響度は相関しない
  • 公式イメージをコンテナに使っても、一般的なセキュリティ対策の代わりにはならない
  • 脆弱性の修正にかかる期間は、コミュニティーの期待にあまり沿っていない

 以下では、Snykが2020年レポートの作成のために収集、分析したデータの概要を示した上で、これらの各ハイライトについて説明する。

レポートで分析されたデータ

  • Snykとそのパートナーが作成、配布した調査のデータ。500人超の開発者、セキュリティ担当者、運用エンジニアが回答した
  • Snykの脆弱性データベースの内部データに加え、Snykがモニタリングおよび保護している数十万のプロジェクトから収集された相関データ
  • 「GitHub」「GitLab」「BitBucket」などの数百万のリポジトリをスキャンした結果の集計データなど、さまざまなソースによって公開された調査やデータ

セキュリティ文化の改善

 2020年レポートでは、「企業内のセキュリティ対策の責任は誰が負うのか」に関する企業の認識が明確に変わっているという。

Copyright © ITmedia, Inc. All Rights Reserved.

スポンサーからのお知らせPR

注目のテーマ

AI for エンジニアリング
「サプライチェーン攻撃」対策
1P情シスのための脆弱性管理/対策の現実解
OSSのサプライチェーン管理、取るべきアクションとは
Microsoft & Windows最前線2024
システム開発ノウハウ 【発注ナビ】PR
あなたにおすすめの記事PR

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。