企業は社内で使うオープンソースコンポーネントの17%しか認識していないーー米Revenera調査

米Reveneraは2月14日(米国時間)、ソフトウェアのサプライチェーンに関する報告書「Revenera 2022 State of the Software Supply Chain Report」を公開した。企業は自社が使っているオープンソースコンポーネントのうち、わずか17%しか把握していないなどのことがわかった。

 Revenera 2022 State of the Software Supply Chain Reportは、2021年に実施された100以上のオープンソースの監査プロジェクトからのデータを用いて、企業のオープンソース利用、関連するライセンス遵守、セキュリティリスクなどについてのトレンドを分析したもの。コード行にして26億行という。

 Reveneraの調査によると、企業は自社内で使われているオープンソースのコンポーネントのうち、17%しか把握していないという。これは、1年前から4%の増加という。米Anchoreは、2021年にソフトウェアサプライチェーンの攻撃を受けた企業は64%と報告しているが、「多くのチームで、危機管理のためのリソース、予算、知識が不足している」とReveneraは記している。

 3段階評価で深刻度が最高位(P1)と識別されるイシューは、前年比6%増となった。P2、P3についても、それぞれ50%、34%で増加した。この理由について、OSSの普及が進んでおり、人気のエコシステムにおける依存性の数の飛躍的増加により、リスクが増えていると分析している。  法規制の後押しもあってソフトウェア部品表(SBOM;Software Bill Of Material)の需要が高まっていることも報告している。ソフトウェア部品表の項目数も増加しており、Reveneraの監査チームが特定した項目数は、この1年で12%増加した。なお、11500行につき1件のイシューを発見したが、この比率は前年から5%増加していると報告している。

「Revenera 2022 State of the Software Supply Chain Report」
https://info.revenera.com/SCA-RPT-OSS-License-Compliance-2022/?lead_source=PR