OSSベース開発プロジェクトでセキュリティ対策への取り組みが大幅に増加IoTセキュリティ

シノプシスは、オープンソースソフトウェアのクオリティーとセキュリティに関するレポートを発表した。セキュアなソフトウェア開発への取り組みが大幅に活発化していることが明らかになった。

» 2017年11月16日 08時00分 公開
[MONOist]

 シノプシス(Synopsys)は2017年10月31日(現地時間)、オープンソースソフトウェア(OSS)のクオリティーとセキュリティに関して、同社の無償・静的解析ソリューション「Coverity Scan」が過去10年に収集したデータの解析結果を「2017 Coverity Scan Report」として公開した。

 同レポートでは、解析結果から、セキュアなソフトウェア開発への取り組みが大幅に活発化しているとする。2016年1月以来、Coverity Scan上でビルドを実行した4117件のプロジェクトのうち、約50%(2049件)が自動テスト実行サービスのTravis CIを用いてビルドやテストを実行している。頻繁にテストを行うことで問題を早期発見し、品質を高める継続的インテグレーション、継続的デプロイ開発手法の採用が進んでいることが分かるという。

 さらに、2509件のプロジェクトでは優先順位をつけて対応しており、1120件のプロジェクトでは、解析結果の品質向上のためにモデリング機能を活用している。

 また、OSSプロジェクトの成熟度は向上しており、OSSエコシステム全体にとって静的解析手法が有効な改善手段であることを示しているとする。OSSの使用で発生しうるリスクの分析には、開発やコミュニティーに関する評価指標といったその他の成熟度測定手法も必要となるとしている。

 商用とオープンソースの区別は曖昧になり、Coverityの大手ユーザー数社によると、顧客向けに出荷されたソフトウェアには、オープンソースコードが最大で90%含まれている可能性があるという。また、完全にOSSを基盤とする企業も存在し、今ではOSSの利用が標準となっていると見ている。

Copyright © ITmedia, Inc. All Rights Reserved.