Snyk と Linux Foundation が「2022 年オープンソースセキュリティの現状報告」を発表
June 21, 2022
0 分で読めますオープンソースソフトウェアは、最近のアプリケーションで重要なコンポーネントとなっています。開発者コミュニティでの自由な意見交換を促進し、開発者は機能的なソフトウェアをこれまで以上にスピーディーに作成できるようになったため、ソフトウェア開発の新時代が築かれています。最近のソフトウェアの 70 ~ 90% にはオープンソースコードが含まれていると言われています。
プロプライエタリなコードの開発者が、開発を加速させるためにオープンソースパッケージを利用するのと同様、オープンソースの開発者も、開発を加速させるためにオープンソースのパッケージを利用しています。つまり、オープンソースライブラリは他のオープンソースライブラリの上に構築されることが多く、これは間接的あるいは推移的な依存関係として知られていますが、依存関係の複雑なツリーが形成されています。セキュリティの観点からは、オープンソースソフトウェアによりアプリケーションに多数のコードのレイヤーが導入され、それらのレイヤー全体に脆弱性が存在する可能性が生じています (その点は最近 Log4Shell で実証されています)。このリスクを管理するには、オープンソースライブラリの潜在的な攻撃対象領域に対処するセキュリティポリシーを慎重に計画し、導入する必要があります。また、検出された脆弱性を修正する、信頼性の高い効果的なツールをチームに提供し、新たな脆弱性の発生に対応することも必要です。
オープンソースの普及と複雑化する依存関係ツリーを考慮して、Snyk は最近 Linux Foundation と提携し、オープンソースソフトウェアがもたらすセキュリティリスクを企業がどのように検出、緩和、軽減しているかを調査しました。本日、この調査結果となる「2022 年オープンソースセキュリティの現状報告」を発表できる運びとなりました。
この調査から得られた重要な数字
この年次報告書では、オープンソースソフトウェアの普及に起因する重大なセキュリティリスクについて詳しく説明しています。今回の調査では、多くの組織でリスクに対処する準備ができていないことが明らかになりました。特に以下の点が明らかになりました。
組織の 41% は、オープンソースソフトウェアのセキュリティに高い信頼を寄せていません。
開発中の平均的なアプリケーションには、49 件の脆弱性と 69 件の依存関係があります。
オープンソースプロジェクトにおける脆弱性の修正にかかる時間は確実に長期化しており、2018 年の 49 日間から 2021 年には 110 日間と 2 倍以上長くなっています。
組織の 51% には、OSS の開発または使用に関するセキュリティポリシーがありません。
オープンソースセキュリティポリシーのない組織の 30% は、チームにオープンソースセキュリティに対応する責任者がいないことをはっきり認識しています。
おそらく最も重要な発見は、多くの企業でオープンソースパッケージの潜在的な脆弱性の範囲が完全に把握されておらず、アプリケーションを効果的に保護するためのポリシーが整備されていないことです。オープンソースパッケージを使用する場合、多くの企業でまだ採用されていない、開発者セキュリティについての新しい考え方をする必要があります。
オープンソースソフトウェアの利用は、今後も間違いなく増えていくでしょう。オープンソースパッケージにどのようなリスクが存在するかを知り、そのリスクに対する防御策を理解することで、企業でオープンソーステクノロジーを効率的かつ安全に使用できるようになります。オープンソースセキュリティのための最も効果的なツールとポリシーを見つけることは、出発点として最適です。
このプロジェクトについて
「2022年オープンソースセキュリティの現状報告」は、Snyk と Linux Foundation の提携によるもので、OpenSSF、Cloud Native Security Foundation、Continuous Delivery Foundation、Eclipse Foundation が後援しています。この報告書は、2022 年第 1 四半期に 550 人を超える回答者を対象に行ったアンケート調査および 13 億件を超えるオープンソースプロジェクトをスキャンした Snyk Open Source のデータに基づくものです。