「コミュニティーから放置されたオープンソース」を利用した商用ソフトウェアが多数 Synopsysが調査レポートを公表「コミュニティーによる更新」はオープンソースの命綱

Synopsysは、2021年版「オープンソース・セキュリティ&リスク分析レポート」を公表した。放置状態になったオープンソースコンポーネントや、4年以上前の旧バージョンのオープンソースコンポーネントが商用ソフトウェアに広く使われていることが明らかになった。

» 2021年05月24日 08時00分 公開
[@IT]

この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。

 Synopsysは2021年5月21日、2021年版「オープンソース・セキュリティ&リスク分析レポート」(Open Source Security and Risk Analysis。以下、OSSRA)を公表した。それによると、セキュリティやライセンスといったオープンソースにまつわる問題がまん延しているという。

画像 オープンソース・セキュリティ&リスク分析レポート(出典:Synopsys

 OSSRAは、SynopsysのBlack Duck監査サービス部門が1500以上の商用ソフトウェアのソースコードを調査し、同社のセキュリティ調査チーム「Cybersecurity Research Center」(CyRC)が分析した所見をまとめたもの。

 Synopsysは「2021年版は、オープンソースソフトウェアがあらゆる業界にわたって使われている大多数のアプリケーションの根幹を担っていることを確認した。これらのソフトウェアには、オープンソースにまつわるリスクが潜んでいることも明らかにした」としている。

コードの改善や脆弱性の修正が実施されない

 Synopsysの調査によると、商用ソフトウェアの多くに、放置状態になったオープンソースコンポーネントが使われているという。過去2年間に開発活動の実績が一切なく、コードの改善や脆弱(ぜいじゃく)性が修正されなかったコンポーネントが、調査対象のソフトウェアの91%に見られた。

 この点についてSynopsysのCybersecurity Research Centerでプリンシパル・セキュリティ・ストラテジストを務めるTim Mackey氏は、次のように述べている。

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。