Black Duck Software、「2018 Open Source Security and Risk Analysis Report」を発表。OSS利用の増加により既知の脆弱性やライセンス干渉問題も増加へ

末岡洋子
シェア

 Black Duck Software(Synopsys)は5月15日、オープンソースのセキュリティに関する年次報告書「2018 Open Source Security and Risk Analysis Report(OSSRA)」を発表した。オープンソース技術の利用が増える一方で、脆弱なオープンソース技術が使われている例も増えていることがわかった。

 「2018 Open Source Security and Risk Analysis Report(OSSRA)」は、Black Duckが2017年に監査した1100の匿名化した商用コードベースを調べたもの。

 スキャンされたアプリケーションのうち96%が、何らかのオープンソース技術コンポーネントを含んでいた。コードベース(257)あたりのオープンソースコンポーネントの平均は、前年から75%増えたとも報告している。プロプライエタリコードよりもオープンソースのコードの比率が多いアプリケーションも数多かったという。

 一方で、少なくとも1件以上のオープンソースソフトウェアにおける脆弱性がコードベースに含まれている比率は78%となった。脆弱性の数は平均すると、コードベースにつき64件という。さらには、検出されたコードベースの54%がHeartbleed、Logjam、Freak、Drown、Poodleなど広く知られている脆弱性だったという。

 このほか、コードベースの74%にライセンスが干渉するオープンソースコンポーネントが含まれていたという。最も多かったのがGPLライセンスの侵害とのことだ。

 Black Duckは2017年末にSynopsysに買収され、ソフトウェアインテグリティグループの一部となった。

Black Duck
https://www.blackducksoftware.com/