ここから本文です

企業のオープンソース利用急増、16件中1件に脆弱性など危険増大

ITmedia エンタープライズ 7月12日(火)7時54分配信

 オープンソースコンポーネントを使ってアプリケーションを開発する企業が増える中、脆弱性のあるコンポーネントが本番環境に入り込む危険性も高まっているという。ソフトウェアサプライチェーン自動化を手掛ける米Sonatypeが7月11日に発表した報告書で、その実態が浮き彫りになった。

【その他の画像】

 報告書は、Sonatypeが運営するCentral Repositoryからダウンロードリクエストのあったソフトウェアコンポーネント310億件の分析などをもとにまとめた。

 それによると、オープンソースコンポーネントのダウンロードリクエストの件数は2015年に310億件に達し、前年の170億件から82%から激増した。

 企業によるダウンロード件数は年間平均で22万9000件。しかし、そうしたオープンソースコンポーネントの6.1%(16件中1件)に、既知の脆弱性が存在していることが分かった。

 Sonatypeはさらに、2万5000本のアプリケーションについても使われているソフトウェアコンポーネントを分析した。その結果、6.8%のコンポーネントに少なくとも1件の既知の脆弱性が発見されたといい、質の低いコンポーネントが本番環境に入り込んでいる実態が判明した。特に、3年以上たった古いコンポーネントは脆弱性が存在する確率が3倍を超えていたという。

 SonatypeはForresterの報告書を引用して、「全てのコンポーネントは恩恵だけでなくリスクももたらす。そうしたリスクを管理するため、最良のコンポーネントやサプライヤーを選択し、選択したコンポーネントは最新かつ最もセキュアなバージョンのみを使うよう気を配る必要がある」と助言している。

最終更新:7月12日(火)7時54分

ITmedia エンタープライズ