ソフトウェアのオープンソース比率が70%に、5年前の36%からほぼ倍増:IoTセキュリティ(1/2 ページ)
日本シノプシスは、各種産業におけるOSS(オープンソースソフトウェア)の利用状況を調査した「2020年オープンソース・セキュリティ&リスク分析(2020 Open Source Security and Risk Analysis:OSSRA)レポート」の結果について説明。調査対象となったアプリケーションに占めるOSSコンポーネントの比率は70%に達したという。
日本シノプシスは2020年5月28日、オンラインで会見を開き、各種産業におけるOSS(オープンソースソフトウェア)の利用状況を調査した「2020年オープンソース・セキュリティ&リスク分析(2020 Open Source Security and Risk Analysis:OSSRA)レポート」の結果について説明した。
このレポートは、企業買収時のソフトウェアの査定などを行っているBlack Duckの監査サービス部門の調査内容を匿名化し、シノプシスのCyRC(Cybersecurity Research Center)が分析し所見をまとめたものだ。今回の実施時期は2019年で、17の業種、1250以上の商用アプリケーション(コードベース)が対象になっている。
日本シノプシス ソフトウェア・インテグリティ・グループ シニアセキュリティエンジニアの吉井雅人氏は「現在利用されているアプリケーションは、カスタムもしくはプロプライエタリのコード、OSSコンポーネント、API、コンフィギュレーションから成るが、今回のOSSRAレポートではOSSコンポーネントの比率が70%に達した。ソースコードが公開されており、誰でも自由にアクセス、利用、変更、再頒布ができ、一定のライセンスの下ではあるが配布されているOSSの利便性は高く、もはやこの70%という数字は驚くべきことではない」と語る。
ただし、OSSは利便性の高さの一方でその内容をきちんと把握することが難しい。OSSRAレポートのベースになるBlack Duck監査サービス部門の調査は、年間で数十億米ドルに達する規模で行われるテクノロジー企業買収の中で、買収先ソフトウェアの法的リスクやセキュリティリスク、品質リスクを把握したいという要望に応えて提供されているものだ。
JavaScriptの採用拡大が要因に
今回のOSSRAレポートは、監査対象となったアプリケーション数が1253で、その99%にOSSが含まれており、17業種のうち9業種で監査した全てのアプリケーションにOSSが含まれていた。
そして、吉井氏が先述した通り、監査したアプリケーションのコードベース全体の70%をOSSが占めていた。「実施時期が2015年の第1回OSSRAレポートではOSS比率が36%だった。つまり、この5年間でOSSの比率はほぼ倍増したことになる」(同氏)という。
また、直近3年間の調査におけるOSS比率/アプリケーション1つ当たりのOSSコンポーネント数を見ると、2018年の60%/257に対して2019年は70%/445と大幅に増加している。吉井氏は「これは、Node.jsをはじめとするJavaScriptが多く使われるようになったためだ。実際に、51%ものOSSコンポーネントにJavaScriptが用いられていた。さまざまな業種で採用が広がっているWebアプリケーションは、Node.jsの利用が圧倒的に多い。そしてNode.jsは、小さなソフトウェアコンポーネントをパッケージ化して利用できることが特徴だ。このことが今回の調査結果につながっているだろう」と説明する。
なお、17業種それぞれのOSS比率を見ると、「インターネット/ソフトウェア・インフラ」が83%、「IoT(モノのインターネット)」が82%と高く、一方で「製造、産業、ロボット工学」は50%、「テレコミュニケーション、ワイヤレス」は46%と低かった。
Copyright © ITmedia, Inc. All Rights Reserved.