「コミュニティーから放置されたオープンソース」を利用した商用ソフトウェアが多数 Synopsysが調査レポートを公表:「コミュニティーによる更新」はオープンソースの命綱
Synopsysは、2021年版「オープンソース・セキュリティ&リスク分析レポート」を公表した。放置状態になったオープンソースコンポーネントや、4年以上前の旧バージョンのオープンソースコンポーネントが商用ソフトウェアに広く使われていることが明らかになった。
Synopsysは2021年5月21日、2021年版「オープンソース・セキュリティ&リスク分析レポート」(Open Source Security and Risk Analysis。以下、OSSRA)を公表した。それによると、セキュリティやライセンスといったオープンソースにまつわる問題がまん延しているという。
OSSRAは、SynopsysのBlack Duck監査サービス部門が1500以上の商用ソフトウェアのソースコードを調査し、同社のセキュリティ調査チーム「Cybersecurity Research Center」(CyRC)が分析した所見をまとめたもの。
Synopsysは「2021年版は、オープンソースソフトウェアがあらゆる業界にわたって使われている大多数のアプリケーションの根幹を担っていることを確認した。これらのソフトウェアには、オープンソースにまつわるリスクが潜んでいることも明らかにした」としている。
コードの改善や脆弱性の修正が実施されない
Synopsysの調査によると、商用ソフトウェアの多くに、放置状態になったオープンソースコンポーネントが使われているという。過去2年間に開発活動の実績が一切なく、コードの改善や脆弱(ぜいじゃく)性が修正されなかったコンポーネントが、調査対象のソフトウェアの91%に見られた。
この点についてSynopsysのCybersecurity Research Centerでプリンシパル・セキュリティ・ストラテジストを務めるTim Mackey氏は、次のように述べている。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
- 「ソースコードは全て公開が条件」の衝撃――OSSを賢く利用するための勘所
「当たり前のように使っていたOSSのせいで訴えられた!」なんてことがないように、OSSを賢く利用するためのポイントを解説します。 - オープンソースのドキュメントをいち早く日本語化、NICTがAI自動翻訳技術をLinux Foundationに提供
NICTは、Linux Foundation Japanに「みんなの自動翻訳」のAI自動翻訳技術を提供した。Linux Foundationは、オープンソースプロジェクトのドキュメント翻訳作業に同技術を活用する。 - Code for Japan 関氏が語る「自治体、企業がオープンソースに取り組むべき理由」
オープンソースソフトウェアを利用したサービスやソフトウェアの開発が珍しくなくなった中、新型コロナをきっかけにオープンソースで公開された東京都の感染症対策サイトが大きな注目を集めた。立ち上げの中心となったCode for Japanの関氏に話を聞いた。