Synopsysは、2021年版「オープンソース・セキュリティ&リスク分析レポート」を公表した。放置状態になったオープンソースコンポーネントや、4年以上前の旧バージョンのオープンソースコンポーネントが商用ソフトウェアに広く使われていることが明らかになった。
この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。
Synopsysは2021年5月21日、2021年版「オープンソース・セキュリティ&リスク分析レポート」(Open Source Security and Risk Analysis。以下、OSSRA)を公表した。それによると、セキュリティやライセンスといったオープンソースにまつわる問題がまん延しているという。
OSSRAは、SynopsysのBlack Duck監査サービス部門が1500以上の商用ソフトウェアのソースコードを調査し、同社のセキュリティ調査チーム「Cybersecurity Research Center」(CyRC)が分析した所見をまとめたもの。
Synopsysは「2021年版は、オープンソースソフトウェアがあらゆる業界にわたって使われている大多数のアプリケーションの根幹を担っていることを確認した。これらのソフトウェアには、オープンソースにまつわるリスクが潜んでいることも明らかにした」としている。
Synopsysの調査によると、商用ソフトウェアの多くに、放置状態になったオープンソースコンポーネントが使われているという。過去2年間に開発活動の実績が一切なく、コードの改善や脆弱(ぜいじゃく)性が修正されなかったコンポーネントが、調査対象のソフトウェアの91%に見られた。
この点についてSynopsysのCybersecurity Research Centerでプリンシパル・セキュリティ・ストラテジストを務めるTim Mackey氏は、次のように述べている。
Copyright © ITmedia, Inc. All Rights Reserved.