Black Duckが企業アプリで使われるOSSに関する調査結果を公表、6割以上で脆弱性が放置されているという結果に

 米Black Duck Softwareの調査によると、商用アプリケーションの97%が何らかのオープンソース技術を利用しているという。一方で、これらアプリケーションに含まれているオープンソース技術に脆弱性が含まれている比率は7割近くに及ぶことも分かった。

 この調査は、Black DuckのリサーチセンターCenter for Open Source Research and Innovation(COSRI)が自社「On-Demand」が監査ツールを利用して1071種類の商用アプリケーションのコードを調べ、「2017 Open Source Security and Risk Analysis(OSSRA)」としてまとめたもの。Black Duckは調査結果を4月19日に発表した。OSSRAは年次調査で、今年で2回目となる。

 それによると、商用アプリケーションのうち、オープンソースソフトウェアが何らかの部分で利用されていたものは96%にも及んだ。1種類のアプリが利用するオープンソースコンポーネントは平均147種類という。

 また、オープンソースを一部利用するアプリケーションのうち、67%に脆弱性があった。脆弱性が放置されていたものとして「Apache Tomcat」「OpenSSL」などを挙げている。発見された脆弱性はその情報が公開されてから平均で4年が経過していたという。「企業はオープンソースのセキュリティ脅威に効果的に対応していない」とBlack Duckは述べている。

 アプリケーション単位での脆弱性の数が最も多かったのは、財務サービス及びフィンテック分野のアプリケーションだった。同分野では、1アプリケーションに含まれる脆弱性の平均数は52件で、これらの中でリスクの高い脆弱性が占める比率は60%だったと報告している。リスクの高い脆弱性が占める比率が最も高かったのは小売・EC(電子商取引)分野で、比率は83%だった。

 脆弱性だけではなく、ライセンスの衝突も報告されている。複数のプロジェクトを使っている結果、85%のアプリケーションがライセンスの衝突があったという。例えば、GPLファミリーに属するライセンスを採用するコンポーネントを含むアプリケーションは75%あったが、このうちGPLの規約を守っているアプリケーションは45%にとどまったという。

米Black Duck Software
https://www.blackducksoftware.com/