シノプシス、OSSのセキュリティ&リスク分析調査を発表、IoTアプリ1つに平均677件の脆弱性を発見

シノプシスは、シノプシス Black Duckグループによる「2018オープンソース・セキュリティ&リスク分析（2018 Open Source Security and Risk Analysis）」の調査結果を発表した。

同分析レポートは、2017年に匿名データ化した1100以上の商用コードベースの調査結果を分析したもので、対象となった産業は、自動車、ビッグデータ、サイバーセキュリティ、企業ソフトウェア、金融サービス、医療、IoT、製造、モバイルアプリ関連のグローバル企業500社。

調査により、アプリケーションの96%にオープンソースソフトウェア（以下OSS）が使用されていることや、コードベースの78%に1件以上の脆弱性が含まれていることが判明した。

OSSの使用は年々増加を続け、アプリケーション1つ当たり平均257のOSSコンポーネントが存在することがわかった。コードベースがOSSである割合は平均57%となり、前年の36%より大幅に増加。所有権で保護されたコードよりも多くなったことがわかる。

産業別では、自動車で平均53%以上、IoT関連では平均77%がOSSを使用しており、IoTアプリケーションに関しては1つのアプリケーションに対して平均677件の脆弱性が発見された。

「コードベースに脆弱性が1件以上含まれているのが全体の78%となり、コードベース1つあたりに存在する脆弱性は平均64件、これは昨年から134%増加している。

さらに、見つかった脆弱性の54%以上が深刻度の高いもの。これは非常に大きなリスクである」と、シノプシスのシニアテクノロジーエバンジェリストであるティム・マッケイ氏。

また、調査を実施したコードベースの85%に、ライセンスに抵触するものや、不明のライセンスが存在したこともわかった。その内44%がGPL（General Public License）の違反で、ティム・マッケイ氏は「これは著作権の対応が重要な対策として出てくる」という。

「セキュリティとは、究極的には正しい技法を選んでリスクに対応すること。プロプライエタリ・コード、オープンソース、実行中のアプリ、それぞれに合わせたベストなセキュリティ技術を選択すべき」とティム・マッケイ氏は説明した。

▲シノプシスのシニアテクノロジーエバンジェリスト、ティム・マッケイ氏