「コミュニティーから放置されたオープンソース」を利用した商用ソフトウェアが多数 Synopsysが調査レポートを公表：「コミュニティーによる更新」はオープンソースの命綱

Synopsysは、2021年版「オープンソース・セキュリティ＆リスク分析レポート」を公表した。放置状態になったオープンソースコンポーネントや、4年以上前の旧バージョンのオープンソースコンポーネントが商用ソフトウェアに広く使われていることが明らかになった。

[＠IT]

　Synopsysは2021年5月21日、2021年版「オープンソース・セキュリティ＆リスク分析レポート」（Open Source Security and Risk Analysis。以下、OSSRA）を公表した。それによると、セキュリティやライセンスといったオープンソースにまつわる問題がまん延しているという。

オープンソース・セキュリティ＆リスク分析レポート（出典：Synopsys）

　OSSRAは、SynopsysのBlack Duck監査サービス部門が1500以上の商用ソフトウェアのソースコードを調査し、同社のセキュリティ調査チーム「Cybersecurity Research Center」（CyRC）が分析した所見をまとめたもの。

　Synopsysは「2021年版は、オープンソースソフトウェアがあらゆる業界にわたって使われている大多数のアプリケーションの根幹を担っていることを確認した。これらのソフトウェアには、オープンソースにまつわるリスクが潜んでいることも明らかにした」としている。

コードの改善や脆弱性の修正が実施されない

　Synopsysの調査によると、商用ソフトウェアの多くに、放置状態になったオープンソースコンポーネントが使われているという。過去2年間に開発活動の実績が一切なく、コードの改善や脆弱（ぜいじゃく）性が修正されなかったコンポーネントが、調査対象のソフトウェアの91％に見られた。

　この点についてSynopsysのCybersecurity Research Centerでプリンシパル・セキュリティ・ストラテジストを務めるTim Mackey氏は、次のように述べている。