米国のSBOM整備は2023年以降に進むか、ライセンス競合の主因はもはやGPLではない：IoTセキュリティ（2/2 ページ）

日本シノプシスは、商用ソフトウェアにおけるOSS（オープンソースソフトウェア）の利用状況を調査した「2023 オープンソース・セキュリティ＆リスク分析レポート」の結果について説明した。

[朴尚洙，MONOist]

クリエイティブ・コモンズがライセンス競合の主因に

　OSSRAレポートでは、ここまで説明してきた脆弱性の他に、ライセンスとメンテナンスをOSSのリスクとして報告している。

　ライセンスでは、ライセンス競合が見つかったコードベースの割合が54％、ライセンスがないまたはカスタムライセンスを使用したOSSを含むコードベースの割合は31％となった。ライセンス競合が見つかったコードベースの割合は減少傾向にあったが、今回の調査では底打ちしたような状態になっている。

「2023 OSSRAレポート」におけるライセンスの問題の割合とこれまでの推移［クリックで拡大］ 出所：日本シノプシス

　その原因になっているのが、これまでのライセンス競合でよくみられたGPLv2やLGPLv2ではなく、Webサイトなどの著作物の再利用を規定するクリエイティブ・コモンズである。米国を中心に英語圏で広く利用されている開発者向けのQ&Aサイトである「Stack Overflow」に基づくコードは、Creative Commons Attribution ShareAlike（CCAS）が適用される。このため、競合原因のライセンスの1位と2位がCreative Commons Attribution ShareAlikeになっているのだ。吉井氏は「ブログが普及したころからこういった問題はあったが、クリエイティブ・コモンズがライセンス競合の原因として挙がってきたのは2022年からだ。今後の動向を注視していきたい」と述べる。

競合の原因となるライセンスのランキング［クリックで拡大］ 出所：日本シノプシス

「Stack Overflow」に設定されたライセンス［クリックで拡大］ 出所：日本シノプシス

　また、ライセンスがないまたはカスタムライセンスを使用したOSSを含むコードベースの割合も上昇傾向にある。ライセンスがないOSSは自由に使えるわけではなく、利用するたびに開発者への確認が必要ということであり事実上商業利用は難しいことを考えると、今後のOSS活用の課題になってくる可能性もある。

　メンテナンスでは、過去2年間に開発活動実績がなかったコンポーネントを含むコードベースの割合が91％、4年以上前の旧バージョンのOSSを使用しているコードベースの割合が89％で、前回調査から再び上昇傾向に転じた。

「2023 OSSRAレポート」におけるOSSのメンテナンスの状況とこれまでの推移［クリックで拡大］ 出所：日本シノプシス

　2021年に大きな話題となったLog4Shellについても、監査したコードベースのうち脆弱なバージョンのApache Log4jを含む割合が5％、脆弱なバージョンのApache Log4jを含むJavaコードベースの割合が11％も残っている。「あれだけ大きな話題になって各社が対応を進めたにもかかわらず、まだこれだけ残っていることは問題だ」（吉井氏）。

残存するLog4Shellの問題［クリックで拡大］ 出所：日本シノプシス

　会見の最後で吉井氏は、「信頼せよ、されど検証せよ」「ビジネスリスクに対する指揮を組織全体で高める」「SBOMによる検証」という3つの方針を基にOSSの管理を改善することを訴えた。

OSSの管理を改善ための3つの方針［クリックで拡大］ 出所：日本シノプシス

⇒その他の「IoTセキュリティ」の記事はこちら