過半数がオープンソースのパッチ適用に2〜3週間ーーSynopsys調査

　米Synopsysは12月8日（米国時間）、オープンソースのセキュリティ管理やDevOpsプラクティスに関する年次報告書「DevSecOps Practices and Open Source Management in 2020」を発表した。

　この年次報告書は、世界1500人のサイバーセキュリティ、ソフトウェア開発、Web開発などに携わるIT担当者を対象に、同社のSynopsys Cybersecurity Research Center（CyRC）が作成した年次調査書。調査では、オープンソースの脆弱性として、管理古くなったりメンテナンスが行われていないオープンソースコンポーネントの対応について調べた。

　Synopsisの他の調査書「2020 Open Source Security and Risk Analysis (OSSRA) Report」から、多くの企業においてオープンソースがコードに占める比率が70％以上である一方で、管理されていないオープンソースがもたらすリスクが高くなっていることがわかっている。OSSRAでは、同社が監査したコードのうち既知の脆弱性を含むオープンソースコンポーネントが含まれている比率は75％にものぼったという。このような状況に対応するため、回答者は既知の脆弱性の検出が最優先課題としている。

　今回のレポートでは、オープンソースのリスクの追跡と管理に苦心している現状が明らかになった。回答者の51％が「オープンソースのパッチ適用に2〜3週間を要している」と回答、「自動化されたソフトウェアコンポジション解析を使っている」という担当者はわずか38％にとどまった。それ以外の企業は手動で管理していると推測している。

　この他、DevOpsにセキュリティを組み込んだDevSecOpsを部分的に採用している企業は63％となった。オープンソースの使用について厳格な管理を適用するきっかけとなるものとして、報道やメディアが重要な役割を果たしていることもわかった。

　また、47％が自社で使われているオープンソースコンポーネントの年数について標準を設定していることもわかった。同社が2019年に監査したコードの91％に、オープンソース技術の中にリリースから4年以上が経過したしていたり、過去2年間開発アクティビティが全くなかったプロジェクトのコードが含まれていたという。

　調査では、標準的なアプリケーションのセキュリティテストツールが存在しないことも指摘している。アプリケーションセキュリティをテストするツールやテクニックは多数あるが、もっとも使われているツールですら回答者の半分以下しか使っていないという。

「DevSecOps Practices and Open Source Management in 2020」
https://www.synopsys.com/software-integrity/resources/analyst-reports/devsecops-practices-open-source-management.html?cmp=pr-sig&utm_medium=referral