ポストする

編集者の概要:オープンソースソフトウェア(OSS)は、そのようなソフトウェアを自由に採用できるだけでなく、世界中のボランティアのコーダーや監査人によって行われる膨大な量の優れた作業であり、誰でも採用できる優れたソフトウェアとコードコンポーネントを作成します。 Synopsys Cyber​​security Research Center(CyRC)による最新のOSSRA(Open Source Security and Risk Analysis)2021レポートによると、マーテック、ヘルスケア、金融サービス、フィンテック、小売、eコマースなど、多くの業界がOSSを広く深く採用しています。 では、OSSを採用することのリスクは何ですか? ベンダーのリリースは以下のとおりです。

シノプシスの調査によると、商用ソフトウェアの脆弱性、時代遅れ、および放棄されたオープンソースコンポーネントの増加 

1,500を超える商用コードベースの分析により、オープンソースのセキュリティ、ライセンスコンプライアンス、およびメンテナンスの問題がすべての業界セクターに蔓延していることがわかりました。

シンガポール、@ mcgallen#microwire情報、14年2021月XNUMX日 シノプシス。 (ナスダック: SNPS)本日リリースされた 2021オープンソースセキュリティとリスク分析(OSSRA) 報告書。 によって作成されたレポート Synopsysサイバーセキュリティリサーチセンター (CyRC)は、BlackDuck®監査サービスチームによって実行された、商用コードベースの1,500を超える監査の結果を調査します。 このレポートは、商用アプリケーション内でのオープンソースの使用傾向に焦点を当て、商用およびオープンソースの開発者が相互接続されたソフトウェアエコシステムをよりよく理解するのに役立つ洞察を提供します。 また、セキュリティの脆弱性、古いコンポーネントや放棄されたコンポーネント、ライセンスコンプライアンスの問題など、管理されていないオープンソースによって引き起こされる広範なリスクについても詳しく説明します。

2021年のOSSRAレポートは、オープンソースソフトウェアがすべての業界のアプリケーションの大部分の基盤を提供することを確認しています。 また、これらの業界は、程度の差はあれ、オープンソースリスクの管理に苦労していることも示しています。

  • リードジェネレーションCRMやソーシャルメディアを含むマーケティングテクノロジー業界セクターで監査された企業の100%は、コードベースにオープンソースを含んでいました。 マーケティング技術コードベースの95%には、オープンソースの脆弱性が含まれていました。
  • ヘルスケアセクターのコードベースの98%にはオープンソースが含まれていました。 これらのコードベースの67%に脆弱性が含まれていました。
  • 金融サービス/フィンテックセクターのコードベースの97%にオープンソースが含まれていました。 これらのコードベースの60%以上に脆弱性が含まれていました。
  • 小売およびeコマースセクターのコードベースの92%にはオープンソースが含まれており、そのセクターのコードベースの71%には脆弱性が含まれていました。

さらに懸念されるのは、放棄されたオープンソースコンポーネントの普及です。 コードベースの驚くべき91%には、過去XNUMX年間に開発活動がなかったオープンソースの依存関係が含まれていました。つまり、コードの改善やセキュリティの修正はありませんでした。

シノプシスサイバーセキュリティリサーチセンターのプリンシパルセキュリティストラテジストであるティムマッキーは、次のように述べています。 「ベンダーがユーザーに情報をプッシュできる商用ソフトウェアとは異なり、オープンソースはコミュニティの関与に依存して繁栄します。 オープンソースコンポーネントがその関与なしに商用製品に採用されると、プロジェクトの活力は簡単に衰えます。 孤立したプロジェクトは新しい問題ではありませんが、それらが発生すると、セキュリティの問題に対処することがはるかに困難になります。 解決策は単純なものです。成功のために依存しているプロジェクトのサポートに投資してください。」

2021OSSRAレポートで特定されたその他のオープンソースリスクの傾向は次のとおりです。

  • 商用ソフトウェアの古いオープンソースコンポーネントが標準です。 コードベースの85%には、XNUMX年以上古くなったオープンソースの依存関係が含まれていました。 放棄されたプロジェクトとは異なり、これらの古いオープンソースコンポーネントには、ダウンストリームの商用コンシューマーによって適用されていない更新やセキュリティパッチを公開するアクティブな開発者コミュニティがあります。 パッチの適用を怠った場合の明らかなセキュリティへの影響に加えて、古いオープンソースコンポーネントの使用は、将来の更新に関連する機能と互換性の問題という形で扱いにくい技術的負債につながる可能性があります。
  • オープンソースの脆弱性の蔓延は、間違った方向に向かっています。 2020年には、脆弱なオープンソースコンポーネントを含むコードベースの割合が84%に上昇し、9年から2019%増加しました。同様に、リスクの高い脆弱性を含むコードベースの割合は49%から60%に急上昇しました。 10年にコードベースで見つかったオープンソースの脆弱性トップ2019のいくつかは、2020年の監査で再び現れ、すべて大幅に増加しました。
  • 監査されたコードベースの90%以上に、ライセンスの競合、カスタマイズされたライセンス、またはライセンスがまったくないオープンソースコンポーネントが含まれていました。 65年に監査されたコードベースの2020%には、オープンソースソフトウェアライセンスの競合が含まれており、通常はGNU General PublicLicenseが関係しています。 コードベースの26%は、ライセンスなしまたはカスタマイズされたライセンスなしでオープンソースを使用していました。 XNUMXつの問題はすべて、特に合併や買収の取引の文脈において、潜在的な知的財産権の侵害やその他の法的懸念について評価する必要があることがよくあります。

オープンソースソフトウェアに関連する潜在的なリスクとそれらに対処する方法の詳細については、のコピーをダウンロードしてください。 2021 OSSRAレポート、 読む ブログ投稿、または21月XNUMX日に登録する ウェビナー.

Synopsys Software Integrity Groupについて

Synopsys Software Integrity Groupは、開発チームが安全で高品質なソフトウェアを構築し、スピードと生産性を最大化しながらリスクを最小限に抑えるのに役立ちます。 アプリケーションセキュリティのリーダーとして認められているSynopsysは、静的分析、ソフトウェア構成分析、動的分析ソリューションを提供し、チームがプロプライエタリコード、オープンソースコンポーネント、およびアプリケーション動作の脆弱性と欠陥をすばやく見つけて修正できるようにします。 業界をリードするツール、サービス、専門知識を組み合わせたSynopsysだけが、組織がDevSecOpsのセキュリティと品質を最適化し、ソフトウェア開発ライフサイクル全体を支援します。 詳細は synopsys.com/software.

シノプシスについて

Synopsys、Inc.(Nasdaq:SNPS)は、私たちが日常的に使用している電子製品とソフトウェアアプリケーションを開発している革新的な企業のための、Silicon to Software™パートナーです。 世界で15番目に大きいソフトウェア企業であるSynopsysは、電子設計自動化(EDA)と半導体IPのグローバルリーダーである長い歴史を持ち、ソフトウェアのセキュリティと品質ソリューションにおけるリーダーシップを成長させています。 高度な半導体を作成するシステムオンチップ(SoC)デザイナーでも、最高のセキュリティと品質を必要とするアプリケーションを作成するソフトウェア開発者でも、Synopsysは革新的で高品質で安全な製品を提供するために必要なソリューションを提供します。 詳細は synopsys.com.

###