Linux Foundationはハーバード大学イノベーションサイエンス研究所と共同で「Census III of Free and Open Source Software – Application Libraries」を発表した。1万社以上の企業で利用される1200万以上のFOSS活用データに基づき、FOSSの活用動向やセキュリティの課題を明らかにしている。
この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。
Linux Foundationは2024年12月4日(米国時間)、ハーバード大学イノベーションサイエンス研究所(LISH)と共同で「Census III of Free and Open Source Software – Application Libraries」(以後、Census III)を発表した。
同調査は、フリーオープンソースソフトウェア(FOSS)の活用動向をまとめたものであり、「Census I」「Census II」に続く3回目の調査。1万社以上の企業における本番稼働アプリケーションで利用されている1200万以上のFOSS活用データに基づき、オープンソースエコシステムのトレンドを明らかにしている。
「ハーバード大学およびBlack Duck、FOSSA、Snyk、Sonatypeなどの主要なソフトウェア構成分析(SCA)組織と連携して調査している。この共同調査の目的は、FOSSエコシステムにおけるセキュリティ上の課題をより深く理解することにある」と、Linux Foundationは述べている。
Census IIIのハイライトは以下の通り。
クラウドサービスに特化したパッケージの利用が増加しており、Census IIでランクインしなかったコンポーネントが上位に位置している。
Python 2からPython 3への移行は依然として進行段階にあり、互換性がない新しいバージョンのソフトウェアへの移行の課題を示唆している。
Mavenパッケージは引き続き広く使用されており、NuGetおよびPythonパッケージの利用も増加している。
Rustのパッケージリポジトリからのコンポーネント利用が、Census II以降大幅に増加している。メモリ安全性の脆弱(ぜいじゃく)性の課題に対する、業界の対応を示唆している。
ソフトウェアの脆弱性管理に関する課題を解決し、ソフトウェアサプライチェーンセキュリティ向上に取り組むため、ソフトウェアコンポーネントの命名スキーマを標準化する取り組みがますます重要になりつつある。
npm以外のトップ50プロジェクトのうち、17%は個人開発者により管理されている。開発者が1〜2人でコミットの80%以上を占めているプロジェクトは4割を占めた。
トップパッケージの多くが個人開発者のアカウントでホストされており、これらのアカウントは組織アカウントに比べて保護や管理の細分化が不足しているケースが多い。
オープンソース分野ではレガシーソフトウェアが依然として存在している。これらのセキュリティは代替パッケージの存在と同様に重要だ。
npmパッケージのうち、直接使用のみ、バージョン非依存で最も使用されているのは「react-dom」だった。
npm以外のパッケージのうち、直接使用、バージョン非依存で最も使用されているのはMavenパッケージの「org.springframework.boot:spring-boot-starter-web」だった。
npm以外のパッケージで、直接/間接使用、バージョン非依存の場合、最も使用されているのはGoパッケージのgoogle-cloud-go(Google Cloudクライアントライブラリ)だった。
Copyright © ITmedia, Inc. All Rights Reserved.