IT製品導入に関する技術資料を多数掲載 ホワイトペーパーダウンロードセンター
2020年版分析レポートで見る、オープンソースセキュリティの現状とリスク
ソフトウェア開発に欠かせないOSSコンポーネントだが、現状は適切に管理されているとは言い難い。2019年の調査では、75%のコードベースに1つ以上の公開済み脆弱性が見つかった。最新の利用実態を把握し、適切な管理の実現に役立てたい。
コンテンツ情報
| 公開日 | 2020/07/09 | フォーマット | 種類 | レポート |
|
|---|---|---|---|---|---|
| ページ数・視聴時間 | 39ページ | ファイルサイズ | 2.2MB | ||
要約
業種を問わず、ソフトウェアの多くにオープンソースソフトウェア(OSS)のコンポーネントが利用されている。2019年の調査では、1つ以上の公開済み脆弱性を含んでいた割合が実に75%に及んだ。また、ライセンス違反の可能性があるものが67%、開発終了から4年以上が経過したコンポーネントを含んでいたものが82%という警戒すべきデータもあった。
もちろんオープンソース脆弱性のうち、広く悪用される可能性があるのはApache StrutsやOpenSSLに影響するものなどの一部であり、CVSS(共通脆弱性評価システム)スコア、CWE(共通脆弱性タイプ一覧)情報などを参考に対策の優先度を決定する必要がある。そのためにも、開発者は品質やライセンス、バージョン、コミュニティーなどに目配りできるように、ソフトウェアBOM(部品表)を作成すべきだ。
本資料は、このようなOSSのセキュリティおよびリスクをまとめたレポートだ。企業の多くがパッチ適用を怠り、危険性の高いコンポーネントを使用しているなど、OSSを取り巻く状況の深刻さが指摘されている。その利用動向も多面的に調査しており、開発者に目を通してほしい内容となっている。
もちろんオープンソース脆弱性のうち、広く悪用される可能性があるのはApache StrutsやOpenSSLに影響するものなどの一部であり、CVSS(共通脆弱性評価システム)スコア、CWE(共通脆弱性タイプ一覧)情報などを参考に対策の優先度を決定する必要がある。そのためにも、開発者は品質やライセンス、バージョン、コミュニティーなどに目配りできるように、ソフトウェアBOM(部品表)を作成すべきだ。
本資料は、このようなOSSのセキュリティおよびリスクをまとめたレポートだ。企業の多くがパッチ適用を怠り、危険性の高いコンポーネントを使用しているなど、OSSを取り巻く状況の深刻さが指摘されている。その利用動向も多面的に調査しており、開発者に目を通してほしい内容となっている。