「コミュニティーから放置されたオープンソース」を利用した商用ソフトウェアが多数 Synopsysが調査レポートを公表：「コミュニティーによる更新」はオープンソースの命綱

Synopsysは、2021年版「オープンソース・セキュリティ＆リスク分析レポート」を公表した。放置状態になったオープンソースコンポーネントや、4年以上前の旧バージョンのオープンソースコンポーネントが商用ソフトウェアに広く使われていることが明らかになった。

[＠IT]

　Synopsysは2021年5月21日、2021年版「オープンソース・セキュリティ＆リスク分析レポート」（Open Source Security and Risk Analysis。以下、OSSRA）を公表した。それによると、セキュリティやライセンスといったオープンソースにまつわる問題がまん延しているという。

オープンソース・セキュリティ＆リスク分析レポート（出典：Synopsys）

　OSSRAは、SynopsysのBlack Duck監査サービス部門が1500以上の商用ソフトウェアのソースコードを調査し、同社のセキュリティ調査チーム「Cybersecurity Research Center」（CyRC）が分析した所見をまとめたもの。

　Synopsysは「2021年版は、オープンソースソフトウェアがあらゆる業界にわたって使われている大多数のアプリケーションの根幹を担っていることを確認した。これらのソフトウェアには、オープンソースにまつわるリスクが潜んでいることも明らかにした」としている。

コードの改善や脆弱性の修正が実施されない

　Synopsysの調査によると、商用ソフトウェアの多くに、放置状態になったオープンソースコンポーネントが使われているという。過去2年間に開発活動の実績が一切なく、コードの改善や脆弱（ぜいじゃく）性が修正されなかったコンポーネントが、調査対象のソフトウェアの91％に見られた。

　この点についてSynopsysのCybersecurity Research Centerでプリンシパル・セキュリティ・ストラテジストを務めるTim Mackey氏は、次のように述べている。

　「オープンソースの健全性は開発者コミュニティーの関与の度合いに依存する。コミュニティーによるアップデートが頻繁に行われないオープンソースが商用ソフトウェアに組み込まれた場合、脆弱性は放置される。解決策は、オープンソースプロジェクトを維持するための投資を惜しまないことだ」

修正があっても適用していないケースが多い

　2021年版OSSRAは、4年以上前の旧バージョンのオープンソースや、脆弱性を抱えたオープンソース、ライセンス条件に競合があるオープンソースを組み込んだ商用ソフトウェアが常態化していることにも触れている。Synopsysは旧バージョンのオープンソースを継続利用する問題について指摘する。

　「こうした時代遅れのオープンソースコンポーネントの開発者コミュニティーは今も活動を続けているものが多い。だが、コミュニティーによるソフトウェアアップデートやセキュリティパッチが、利用者である顧客によって適用されていないことが問題だ。時代遅れのオープンソースコンポーネントを用いることによって、技術的に手に負えないツケを払い続けなければならなくなる事態を招きかねない」

　一方、ライセンス条件の競合があるオープンソースを含む商用ソフトウェアは全体の65％だった。Synopsysと多くの商用ソフトウェアが「GNU GPL」（General Public License）と競合していたという。ライセンスがないか、またはカスタムライセンスのオープンソースを使用しているものは26％だった。著作権侵害や訴訟のリスクの観点から精査されるべきだとSynopsysは指摘している。