ソフトウェア・セキュリティ対策ツール・ポートフォリオ&サービスを提供するシノプシスは4月17日、「2024 オープンソース・セキュリティ&リスク分析(OSSRA:Open Source Security and Risk Analysis)レポート」を発表した。
第9版となる今回のレポートでは、リスク評価を行った商用コードベースの74%に、高リスクの脆弱性にさらされているオープンソース・コンポーネントが含まれており、前年から54%増加していることが明らかになった。
2024 OSSRAレポートは、2023年に17業界にわたる1000以上の商用コードベース監査から得られた匿名化された調査結果をシノプシス サイバーセキュリティ・リサーチ・センター(CyRC)が分析し、所見をまとめたもの。同レポートは、セキュリティ/開発/法務部門に、オープンソース・ソフトウェアの導入と利用の動向、セキュリティ脆弱性の蔓延、ソフトウェア・ライセンスとコード品質リスクなど、オープンソース活用の全体像を包括的に提供している。
コードベースに少なくとも1つのオープンソース脆弱性を含む割合は前年と同じ84%だったが、2023年に高リスクの脆弱性を含むコードベースが大幅に増加している。
経済不安やそれに伴う技術者のレイオフなどにより、脆弱性のパッチ適用を行うためのリソースが減少したことに起因していると考えられる。
高リスクのオープンソース脆弱性(積極的に悪用されている、PoCのエクスプロイトが公開されている、またはリモートコード実行の脆弱性として分類されている)を含むコードベースの割合は、前年の48%から74%に増加した。
主な調査結果は以下のとおりである。
◎古いオープンソース・コンポーネントの使用
組織は時代遅れの、あるいは更新されていないオープンソース・コンポーネントをいまだに使用している。コードベースの91%には、10バージョン以上古いコンポーネントが含まれており、コードベースのほぼ半数(49%)に、過去2年以内に開発活動が行われていないコンポーネントが含まれていた。
また、コードベースに含まれるオープンソース脆弱性の公開からの平均年数は2.5年以上であり、4分の1近くのコードベースに10年以上前から存在する脆弱性が含まれていることが分かった。
◎高リスクのオープンソース脆弱性が業界全体に蔓延
コンピュータ・ハードウェアおよび半導体の業界は高リスクのオープンソース脆弱性を含むコードベースの割合が業種別で最も高い88%に上り、製造、産業機器、ロボットの業界が87%で続いている。
またビッグデータ、AI、BI、機械学習の業界は66%だった。宇宙、航空、自動車、運輸、物流の業界は最も少ないが、コードベースの33%に高リスクの脆弱性が含まれていた。
◎オープンソース・ライセンス問題
ライセンス・コンプライアンス順守は、効果の高いソフトウェア・サプライチェーン・マネジメントにおいて重要だが、レポートでは、コードベースの半数以上(53%)にオープンソース・ライセンスの競合の問題が見つかり、コードベースの31%は識別可能なライセンスがないか、カスタム・ライセンスのコードを使用していることが判明した。
ライセンスに抵触するコードベースの割合が業種別で最も高かったのはコンピュータ・ハードウェアおよび半導体の業界で92%、次いで製造業、産業機器、ロボットの業界が81%だった。ソフトウェアに1つでもコンプライアンス違反のライセンスがあると、知的財産が生み出す利益を失い、修復に時間がかかり、製品の市場投入が遅れる可能性がある。
◎上位10件の脆弱性のうち8件が共通の弱点に由来
今回の調査で最も頻繁に観測されたオープンソースの脆弱性の大部分は、不適切な中和(CWE-707)に分類されるものであった。この脆弱性タイプには、さまざまな形のクロスサイト・スクリプティングが含まれており、悪用された場合、非常に深刻な被害をもたらす可能性がある。
[i Magazine・IS magazine]