　日本シノプシスは2022年5月19日、オンラインで会見を開き、商用ソフトウェアにおけるOSS（オープンソースソフトウェア）の利用状況を調査した「2022年オープンソース・セキュリティ＆リスク分析（Open Source Security and Risk Analysis：OSSRA）レポート」の結果について説明した。

　同レポートは、企業買収時のソフトウェアの査定などを行っているBlack Duckの監査サービス部門の調査内容を匿名化し、シノプシスのCyRC（Cybersecurity Research Center）が分析し所見をまとめたもの。今回の実施時期は2021年で、17の業種、2400以上の商用アプリケーションやライブラリといったコードベースが対象になっている。

2022年OSSRAレポートの調査対象となったアプリケーション（コードベース）と17業種の比率［クリックで拡大］出所：日本シノプシス

　これまでOSSRAレポートと異なるのは、調査の対象となるCyRCが監査したコードベースの数が大幅に増えていることだ。2020年と比べて64％もの増加になっている。日本シノプシスソフトウェア・インテグリティ・グループシニアセキュリティエンジニアの吉井雅人氏は「2021年は世界全体のテクノロジー／テレコム業界における買収金額が1兆2400億米ドルとなり2020年から倍増した。このため、OSSRAレポートのベースとなる監査したコードベースの数も大幅に伸びた」と説明する。

世界全体のテクノロジー／テレコム業界における買収金額の推移［クリックで拡大］出所：日本シノプシス

　ただし、ソフトウェア開発でOSSの利用が当たり前になっている傾向に変わりはない。調査対象となった2409のコードベースのうち、OSSを含んでいたコードベースは97％、全コードベースに占めるオープンソースの割合も78％となり、2020年の98％、75％という数字とほぼ変わらないものとなっている。

2022年OSSRAレポートの分析結果［クリックで拡大］出所：日本シノプシス

コードベース1つ当たりに含まれる脆弱性が減少

　OSSRAレポートでは、「脆弱性」「ライセンス」「メンテナンス」（2021年レポートでは「サスティナビリティ」）の3点をOSSのリスクとして報告している。

　まず、脆弱性では、少なくとも1つの脆弱性が見つかったコードベースの割合が81％、リモートコード実行などにつながり得る高リスクの脆弱性を含むコードベースの割合が49％となった。2018～2020年（調査対象年ベース。以下同じ）の2年間はOSSに含まれる脆弱性の割合は増加傾向にあったが、今回は一転して減少に転じた。

OSSに含まれる脆弱性の割合の推移［クリックで拡大］出所：日本シノプシス

　コードベース1つ当たりのコンポーネント数は、2020年の528から2021年は508となったものの「アプリケーションの規模にも一定の限界があり、コンポーネント数は500程度で頭打ちになったとみられる」（吉井氏）という。コンポーネント数に大きな変動がない一方で、コードベース1つ当たりに含まれる脆弱性の数の平均については、2019年の110から2020年に158に急増したにもかかわらず、2021年は138に減少している。吉井氏は「米国大統領のジョー・バイデン氏によるSBOM（ソフトウェア部品表）の開示を求める大統領令を受けて、コードベース内の脆弱性への対処を進めたのではないか」と指摘する。とはいえ、前回のOSSRAレポートでも報告されていた「jQuery」や「Lodash」などで脆弱性が多く検出されていることに変わりはない。