「OSSの脆弱性にはパッチ適用を」が通用しない理由：4万1989のオープンソースコンポーネントを分析

Lineaje Data Labsは、Apache Software Foundationのプロジェクトに組み込まれている41,989のオープンソースコンポーネントを分析した調査レポートを発表した。

[＠IT]

　セキュリティマネジメントを提供するLineaje Data Labsは、2023年4月17日（米国時間）、Apache Software Foundationの上位44の人気プロジェクトに組み込まれている4万1989のオープンソースコンポーネントを、過去3バージョンにわたり分析した調査レポートを発表した。

　コンポーネントを分析したところ、82％は脆弱（せいじゃく）性やセキュリティ問題、コード品質または保守性の懸念によって本質的にリスクを抱えていることが分かった。

OSSのリスク

　Lineaje Data Labsが実施した調査によって、オープンソースソフトウェア（OSS）のリスクに関して追加で以下のことが明らかとなった。

固有リスクが極めて高い

　82％のコンポーネントが脆弱性やセキュリティ問題、コード品質または保守性の懸念によって本質的にリスクを抱えている

ソフトウェアの人気と品質は比例しない

　例えば、Apache Software Foundationの「Apache ECharts」は最も人気のあるパッケージである一方で、最もリスクの高いパッケージの1つである

脆弱性のパッチ適用という幻想

　脆弱性の64.2％は修正プログラムがまだ提供されておらず、パッチ適用ができないことが判明した。また、依存関係が深いため、全脆弱性の25.8％はOSS関連の組織ではパッチ適用が不可能であることも判明。事実上、完全なパッチ適用が達成されたとしても、組織の脆弱性には全体の約10％しか対処できないことになる。

　最も大きなリスクはパッチが適用されない脆弱性ではなく、修正プログラムが存在しないことだ。これらの脆弱性は他のパッチが適用されたとしても存在し続け、脅威となる。

OSSの分析結果