OSSのサプライチェーン、脆弱性に課題あり需給は高まるが脆弱性も増加

オープンソースソフトウェアは供給、需要のどちらも大幅な伸びを見せている。しかし脆弱性の管理に弱点がある。ソフトウェアサプライチェーン管理プラットフォームを手掛けるSonatypeが発表した年次調査の報告書によれば、人気の高いプロジェクトでより多くの脆弱性が見つかっている。

» 2021年10月04日 16時00分 公開
[@IT]

この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。

 ソフトウェアサプライチェーン管理プラットフォームを手掛けるSonatypeは2021年9月15日(米国時間)、オープンソースソフトウェア(OSS)について、サプライチェーンの動向に関する年次調査の報告書「2021 State of the Software Supply Chain」を発表した。

 対象となったのは、10万種類の本番アプリケーションと開発者による400万種類のコンポーネントの移行だ。4つの主要なオープンソースエコシステムに関連するソフトウェアの供給と需要、セキュリティ動向も対象とした。4つのエコシステムとは、Java(Maven Central)、JavaScript(npmjs)、Python(PyPI)、.NET(nuget)だ。

オープンソースソフトウェアの需給はもちろん脆弱性が大幅に増加

 調査結果のハイライトは次の通り。

・供給が20%増
 4つのエコシステム合計で、1年間に630万2733の新バージョンがリリースされ、72万3570の全く新しいプロジェクトが発表された。これらのコミュニティーは合計で、2020年比20%増の3745万1682バージョンのコンポーネントを提供している。

・需要が73%増
 世界の開発者は2021年にこの4つのエコシステムのオープンソースパッケージを、2020年比73%増の2.2兆回以上ダウンロードする見通しだ。

オープンソースパッケージのダウンロード回数(出典:Sonatype

・オープンソースサプライヤーを狙ったサイバー攻撃が2020年比で650%増
 オープンソースエコシステムの上流にある脆弱(ぜいじゃく)性を狙ったソフトウェアサプライチェーン攻撃が急激に増加した。

・本番アプリケーションでは、使用可能なオープンソースプロジェクトの6%しか利用されていない
 大量のオープンソースプロジェクトの成果が供給されているものの、利用されるプロジェクトは、少数の人気の高いものに集中している。

・人気の高いオープンソースプロジェクトの方が脆弱
 人気の高いプロジェクトでは、コンポーネントの29%に少なくとも1つの既知のセキュリティ脆弱性がある。これに対し、人気の低いプロジェクトのコンポーネントでは、この割合は6.5%にとどまる。これは、セキュリティ研究者(ブラックハット、ホワイトハットとも)が、広く使われているプロジェクトにフォーカスしていることを示唆している。

脆弱性があるリリースの割合(オープンソースエコシステム別)(出典:Sonatype

セキュリティに強い傾向があるプロジェクトも存在

 調査報告書はセキュリティの高低を決める要因についても扱っている。

・MTTUが短いプロジェクトの方が安全
 MTTU(Mean Time To Update:更新までの平均時間)が短いプロジェクトは、脆弱性が存在する可能性が平均の1.8分の1にとどまる。

・人気はセキュリティの指標にならない
 人気の高いオープンソースプロジェクトは、脆弱性が存在する可能性が平均よりも2.8倍高い。

開発チームによって大幅に異なる依存関係管理プラクティス

 企業は年間平均6200件のコンポーネントの移行を行っている。だが、アップグレード先の最適なバージョンを特定できなかったために、69%が最適な選択を採っていなかった。一般に、プロジェクトの新しいバージョンの方が優れているが、必ずしもベストとは限らない。

マイグレーションに関する意思決定の69%が最適な選択ではなかった(オープンソースエコシステム別)(出典:Sonatype

 企業のエンジニアリングチームは、使用するコンポーネントの25%しか管理しておらず、オープンソース依存関係の多くが古くなり、セキュリティリスクが増大している。

 中堅企業は自動化により、年間19万2000ドルのソフトウェア開発コストを削減できる可能性がある。20のアプリケーション開発チームを抱える中堅企業がインテリジェント自動化ソリューションを利用することで、年間160人日の開発工数を削減できる計算だ。

ソフトウェアサプライチェーン管理プラクティスに関する認識と現実

 企業の担当者はコンポーネントの脆弱性対応がうまくいっていると自信を持っていることが多い。だが、調査結果によれば、開発チームがしばしば、ソフトウェアサプライチェーン管理に関して最適ではない意思決定を行うことが分かった。構造化されたガイダンスを欠いていることが原因だ。

Copyright © ITmedia, Inc. All Rights Reserved.

スポンサーからのお知らせPR

注目のテーマ

4AI by @IT - AIを作り、動かし、守り、生かす
Microsoft & Windows最前線2025
AI for エンジニアリング
ローコード/ノーコード セントラル by @IT - ITエンジニアがビジネスの中心で活躍する組織へ
Cloud Native Central by @IT - スケーラブルな能力を組織に
システム開発ノウハウ 【発注ナビ】PR
あなたにおすすめの記事PR

@ITについて

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。