大規模ソフトの99%に用いられるOSS「今は脆弱性なくても将来必ず見つかる」IoTセキュリティ(1/2 ページ)

日本シノプシスが各種産業におけるOSS(オープンソースソフトウェア)の利用状況を調査した「2019オープンソース・セキュリティ&リスク分析レポート」の結果について説明した。

» 2019年05月31日 10時00分 公開
[朴尚洙MONOist]

 日本シノプシスは2019年5月29日、東京都内で会見を開き、各種産業におけるOSS(オープンソースソフトウェア)の利用状況を調査した「2019オープンソース・セキュリティ&リスク分析(2019 Open Source Security and Risk Analysis:OSSRA)レポート」の結果について説明した。

 このレポートは、企業買収時のソフトウェアの査定などを行っているBlack Duckの監査サービス部門の調査内容を匿名化し、シノプシスのCyRC(Cybersecurity Research Center)が分析し所見をまとめたものだ。今回の実施時期は2018年で、17の業種、1200以上の商用アプリケーションやライブラリといったコードベースが対象になっている。

「2019オープンソース・セキュリティ&リスク分析レポート」の調査対象業種とその割合 「2019オープンソース・セキュリティ&リスク分析レポート」の調査対象業種とその割合(クリックで拡大) 出典:日本シノプシス
日本シノプシスの吉井雅人氏 日本シノプシスの吉井雅人氏

 日本シノプシス ソフトウェア・インテグリティ・グループ シニアセキュリティエンジニアの吉井雅人氏は「今から20年以上前の日本では、誰が書いたかも分からないOSSは使うな、というのが一般的だった。しかし現在、各種ソフトウェアに占めるOSSの比率は70%近いところまで来ている。もはやOSSなしでソフトウェア開発はできない状況だ」と語る。

 今回の調査結果では、対象となった1200以上のコードベースのうち96%にオープンソースコンポーネントが含まれていた。1000ファイル以上の大規模なコードベースになるとこの数字は99%に達する。また、コードベースに含まれているOSSの割合は平均で60%、1つのコードベース当たりのオープンソースコンポーネント数は298に上った。2017年に実施した前回の調査結果は、OSSの割合が57%、コンポーネント数が257なので、OSSの活用は大幅に増加していることが明らかになった。

コードベースに含まれているOSSの割合の推移 コードベースに含まれているOSSの割合の推移(クリックで拡大) 出典:日本シノプシス

 業種ごとのOSSの割合を見ると、マーケティングテックが78%、インターネット/モバイルアプリが74%、サイバーセキュリティが70%、IoT(モノのインターネット)が66%など高い比率となった。一方、製造、産業、ロボット工学は43%、航空宇宙、航空、自動車、運輸、物流は37%と低めの数字になったが「通常は50%前後でもう少し高いイメージだ。今回の調査対象のコードベースはOSSが少なめだったのだろう」(吉井氏)という。

業種別のコードベースに含まれているOSSの割合 業種別のコードベースに含まれているOSSの割合(クリックで拡大) 出典:日本シノプシス
       1|2 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.