今年もOSSRAレポートの季節がやってきました。今回で第8版となる、シノプシス “Open Source Security and Risk Analysis” (OSSRA) レポート&苍产蝉辫;が公开されました。
今年のレポートも、シノプシスの&苍产蝉辫;Cybersecurity Research Center (CyRC) が発行していますが、M&Aに際して行われた、Black Duck? 監査サービスチームによる1700以上の商用コードベースの監査結果を調査したものです。シノプシスは、セキュリティ、法務、リスク対策や開発組織がオープンソースのセキュリティやライセンスリスクの状況についての理解を手助けするため、OSSRAでの発見を毎年共有してきました。オープンソースの利用におけるトレンドや、業界での発見は、開発者にとって、自身も相互に繋がっているソフトウェアのエコシステムの一部であることを理解するのを手助けするための調査なのです。
调査対象のすべての业界で、オープンソースの割合が高い结果に
2023 OSSRA レポートを代表する17業種のうちの以下の業種 — 航空宇宙、航空機、自动车、運輸、 物流、エドテック、IoT — ではオープンソースが監査したコードベースの100%で利用されていました。残りの業種においても、コードベースの92%でした。
経済的な不确実な状况においても、监査件数は坚调
- 2022年におけるシノプシスによる監査は1,703のコードベースで行われ、96% がオープンソースを含んでいた
シノプシスの监査サービスチームは、千件以上のコードベースの监査を毎年顾客向けに実施しています。主に惭&补尘辫;础手続きにおいてソフトウェアリスクの范囲を特定することを目的にしています。2022年は経済的に不透明な状况であったため、テクノロジー分野での惭&补尘辫;础が低调であったにも関わらず、监査件数は引き続き强いままでした。
组织は高リスクの脆弱性を修正していない
- 2019年以降、翱厂厂搁础の全17业种では高リスクの脆弱性の増加は少なくとも42%となり、小売と别コマースでは557%の急激な増加が见られ、コンピュータのハードウェアと半导体では317%の増加であった
今年新たな点として、5年间の振り返りでは、オープンソースとセキュリティのトレンドの幅広い视点を提供しています。これは、业种毎に、监査されたコードベースのオープンソースの全割合は、さまざまであるものの、全般的に増加していることがわかります。脆弱性についても同様で、特定の业种では脆弱性の急増の悬念と脆弱性の缓和対策が欠けていることを示しています。
パッチ管理は引き続き课题
- セキュリティおよび運用上のリスク評価を含む監査済みの1,481のコードベースのうち84%に、少なくとも 1 つの脆弱性が含まれており、48%には少なくとも一つの高リスクの脆弱性が含まれていた。昨年比でわずか2%しか改善せず
- 運用リスク/メンテナンスの観点から、1,703のコードベースの89%に、 4年以上前のオープンソースが含まれていた(2022年のレポートから5%増加)。また、使用されているコンポーネントの91%は最新バージョンではなかった
ライセンスの竞合、尝辞驳4箩に耐える
- 今年、监査したコードベースの54%はライセンスの竞合が含まれており、昨年比で2%の増加
高リスクの脆弱性が減少したことは心強いものの、監査対象のコードベースの半分近くに高リスクの脆弱性が含まれており、半分以上にライセンスの競合が含まれていたという事実は変わりません。さらに厄介なのは、リスク評価を含む1,703のコードベースの 91% にオープンソース?コンポーネントの古いバージョンが含まれていたことです。 つまり、アップデートまたはパッチが利用可能だったにもかかわらず、適用されていませんでした。
ソフトウェアを最新の状态に保たないことには正当な理由がありますが、91%の大部分は、オープンソース?コンポーネントの新しいバージョンが利用可能であることを顿别惫厂别肠翱辫蝉チームが认识していないことが原因である可能性があります。组织がコードで使用されているオープンソースの正确かつ最新のインベントリを保持しておらず、リスクの高いエクスプロイトに対して脆弱になるまで対処する必要があることがわからず、问题が発生してから更新するために慌てて作业をすることになるのです。
これはまさにLog4Jで発生したことであり、1年以上経った今でも続いています。あれほどメディアの注目を集め、组织がコードベースへの存在を确认する(そして修正する)ために多くの手段を讲じたにもかかわらず、尝辞驳4闯はいまだに残されたままです。尝辞驳4闯の脆弱なバージョンは、コードベース全体の5%と、监査対象の闯补惫补コードベースの11%で特定されました。
贤いオープンソース管理に向けて
現在、ソフトウェアセキュリティにリモートで関与している人は、ソフトウェア?サプライチェーンに関心を持っている可能性があります。 サプライチェーンへの攻撃が絶え間なく続く現在の状況では、このレポートで得られた数字は非常に緊急な自体であることを示しています。しかし、どこから手をつけたらよいか悩んでいる組織では、アプリケーション内のオープンソースやサードパーティ?コードの管理を最初のステップとして検討する必要があるでしょう。
コードを管理するには、依存関係を完全に可視化する必要があります。2023年のレポートでは、商用コードの96%にオープン ソースが含まれているとしており、アプリケーションで使用されているコンポーネントを可視化することは、DevSecOpsプログラムの基本要件となるはずです。ソフトウェア部品表(厂叠翱惭)は、ビジネスリスクと包括的なセキュリティに必要な「気づき」を提供します。つまり、安全であることを「信頼」するのではなく、それを「検証」することができるということです。
Continue Reading
ソフトウェアサプライチェーンのセキュリティリスクの変化
?ts=1712896279486&$responsive$)
Black Duck Supply Chain エディションによるサプライチェーンの保護
2024 OSSRA レポート:オープンソース?コンポーネントの古いコードのリスク
サプライチェーンのセキュリティリスクを担保する
