[2023] オープンソース・セキュリティ& リスク分析レポート [目次] [はじめに]3 「2023オープンソース•セキュリティ&リスク分析レポート」とCyRCについて3 [概要]4 数字で見る2022年のオープンソース4 業種別に見たオープンソースの使用状況5 用語6 [脆弱性とセキュリティ]7 オープンソースの脆弱性とセキュリティ7 ゴルディアスの結び目:オープンソース•ソフトウェアのリスクとサプライチェーンのセキュリティ8 業種別に見た脆弱性9 5年間の振り返り11 [ライセンス]13 オープンソース•ライセンス13 ライセンス•リスクを理解する14 [オープンソースのメンテナンス]15 オープンソースの開発者によるメンテナンス15 既知のリスクを超えて16 オープンソースの利用者によるメンテナンス17 [まとめ]18 「信頼せよ、されど検証せよ」18 信頼にまつわる問題18 SBOMによる検証18 2023オープンソース・セキュリティ&リスク分析レポート|©2023Synopsys,Inc.2 [はじめに] 「2023オープンソース・セキュリティ& リスク分析レポート」とCyRCについて 2023年で8回目の発行を迎えた「オープンソース・セキュリティ&リスク分析 (OSSRA)レポート」は、毎年、商用ソフトウェアに含まれるオープンソースのリスクについての現状をセキュリティ、コンプライアンス、ライセンス、およびコード品質の面から詳しく分析しています。シノプシスは、セキュリティ、法務、リスク、開発チームがオープンソースのセキュリティおよびライセンスのリスク状況への理解を深めていただけるように、これらの調査結果を公開しています。このレポートのデータは、シノプシスサイバーセキュリティ・リサーチセンター(CyRC)から提供されています。CyRCは、セキュリティ・アドバイザリおよびリサーチの提供と発行を通じ、組織における高品質なソフトウェアの開発と利用を促進することを使命としています。 OSSRAの年次レポートは、前年のデータを用いてCyRCが調査し、得られた結果をまとめたものです。したがって2023年版レポートは2022年のデータに基づいています。2022年はCyRCは17の業種で1,700を超える商用コードベースから収集した匿名化データを分析しました。CyRCの監査サービス・チームは、主に顧客の合併・買収(M&A)取引において幅広いソフトウェア・リスクを特定することを目的として、毎年数千ものコードベースを監査しています。2022年は経済見通しの不透明感が強まり、テクノロジー企業のM&Aが低調だったにもかかわらず、監査の件数は堅調を維持しています。 シノプシスのBlackDuck®ソフトウェア・コンポジション解析(SCA)製品チームおよびCyRCの監査サービス・チームは、これまで約20年にわたって世界中のセキュリティ、開発、法務チームに対し、セキュリティおよびライセンス・コンプライアンス・プログラムの強化を支援してきました。BlackDuckSCAにより、組織はオープンソース・コードを特定および追跡し、既存の開発環境全体でオープンソース・ポリシーを自動で適用できるようになります。通常、M&A取引の一環として実施されるBlackDuck監査は、ソフトウェアのリスクを全面的に分析します。また、BlackDuck監査では、組織で使用しているアプリケーションに含まれるオープンソース、サードパーティ・コード、webサービス、およびAPIを網羅した、最新かつ非常に正確なソフトウェア部品表(SBOM)も提供しています。この監査サービス・チームは、ライセンス・コンプライアンスおよびセキュリティの潜在的リスクをBlackDuckKnowledgeBase™のデータに基づいて特定しています。BlackDuckKnowledgeBaseには、28,000を超えるフォージおよびリポジトリからCyRCが収集、整理した610万を超えるオープンソース・コンポーネントについてのデータが登録されています。 業種を問わず、また組織のセキュリティとリスクに関してどのような役割を担っているかにかかわらず、ビジネスの原動力としてのオープンソースの存在感は高まる一方であり、オープンソースの効果的な管理ができていないと大きな落とし穴が待っていることは、OSSRAが常に強調している点です。このレポートで毎年指摘しているように、オープンソースは、私たちが現在使用しているすべてのアプリケーションの基盤となっています。したがって、オープンソースを効果的に特定、追跡して管理することは、ソフトウェア・セキュリティ・プログラムの成功に欠かせません。このレポートでは、オープンソースの開発者と利用者の両方がオープンソースのエコシステムへの理解を深め、オープンソースの責任ある管理をできるように、いくつかの重要な提言と知見を示していきます。 業種を問わず、ビジネスの原動力としてのオープンソースの存在感は高まる一方であり、オープンソースの効果的な管理ができていないと大きな落とし穴が待っていることは、 OSSRAが常に強調している点です。 2023オープンソース・セキュリティ&リスク分析レポート|©2023Synopsys,Inc.3 [概要] 100 80 96% 99% 75% 98% 84% 97% 81% 96% 84% 2022年にスキャンした1,703のコードベースのうち、87%がセキュリティ/運用リスク診断も実施 60% 60 60% 4040% 70% 49% 78% 75% 60% 49% 76% 48% 54% ライセンスの競合が見つかったコードベースの割合 89% 4年以上前の旧バージョンのオープンソースを使用しているコードベースの割合 20 0 2018 2019202020212022 31% ライセンスのない、または カスタム•ライセンスを使用しているコードベースの割合 91% 過去2年間に新たな開発活動実績のなかったコンポーネントを含むコードベースの割合 ⬛オープンソースを含むコードベースの割合 ⬛全コードベースに占めるオープンソース•コードの割合 ⬛1つ以上の脆弱性を含むコードベースの割合 ⬛高リスク脆弱性を含むコードベースの割合 2023オープンソース・セキュリティ&リスク分析レポート|©2023Synopsys,Inc.4 [概要] 航空宇宙/航空機/自動車/運輸/物流 ビッグデータ/AI/BI/機械学習 コンピュータ•ハードウェア/半導体 サイバーセキュリティ エドテック 100 80 60 100% 73% 100 80 60 95% 78% 100 80 60 94% 87% 100 80 60 98% 79% 100 80 60 100% 84% 4040404040 業種別に見た オープンソースの使用状況 20 0 20182019202020212022 20 0 20182019202020212022 20 0 20182019202020212022 20 0 20182019202020212022 20 0 20182019202020212022 エネルギー/クリーンテック エンタープライズ•ソフトウェア/SaaS 金融サービス/フィンテック 医療/ヘルステック/生命科学 インターネット/モバイル•アプリ インターネット/ソフトウェア•インフラストラクチャ 100 80 60 95% 78% 100 80 60 95% 74% 100 80 60 98% 72% 100 80 60 99% 84% 100 80 60 98% 81% 100 80 60 96% 54% 404040404040 202020202020 0 100 80 60 40 20182019202020212022 IoT 100% 89% 0 100 80 60 40 20182019202020212022 製造/産業/ロボット工学 92% 75% 0 100 80 60 40 20182019202020212022 マーケティングテック 98% 80% 0 100 80 60 40 20182019202020212022 リテール/eコマース 97% 72% 0 100 80 60 40 20182019202020212022 テレコミュニケーション/ワイヤレス 95% 53% 0 100 80 60 40 20182019202020212022 仮想現実(VR)/ゲーム/ エンターテインメント/メディア 97% 79% 202020202020 0 20182019202020212022 0 20182019202020212022 0 20182019202020212022 0 20182019202020212022 0 20182019202020212022 0 20182019202020212022 ⬛オープンソースを含むコードベースの割合█全コードベースに占めるオープンソース•コードの割合 2023オープンソース・セキュリティ&リスク分析レポート|©2023Synopsys,Inc.5 [概要] 用語 コードベース アプリケーションまたはサービスを構成するコードおよび関連ライブラリ。 バイナリ解析 静的解析の一種。ソースコードを入手できないアプリケーションの内容を特定します。 BlackDuckSecurityAdvisory(BDSA) CyRCセキュリティ・リサーチ・チームが調査および分析した、オープンソース脆弱性に関するタイムリーで一貫性のある詳細な情報。BDSAは、シノプシスの顧客に向けてオープンソース脆弱性およびアップグレード/パッチ・ガイダンスの補足情報をいち早く提供します。BDSAはデータ量、完全性、正確性の面でNationalVulnerabilityDatabase(NVD:情弱性情報データベース)よりも充実した内容となっており、早期の警告と包括的な知見が得られます。BDSAでは、即日通知、具体的な軽減策のガイダンスと回避策の情報、深刻度スコア、参考情報など多くのものが提供されます。 ソフトウェア•コンポーネント 開発者がソフトウェアの部品として追加できる作成済みコード。カレンダーなどのユーティリティの場合もあれば、アプリケーション全体をサポートする包括的なソフトウェア・フレームワークの場合もあります。 依存ファイル あるソフトウェアが別のソフトウェア・コンポーネントを使用する場合、そのソフトウェアの動作は使用するコンポーネントに依存することになるため、そのコンポーネントを依存ファイルと呼びます。1つのアプリケーションまたはサービスには多くの依存ファイルが存在することがあり、それらの依存ファイルがさらに別のコンポーネントに依存していることもあります。 オープンソース•ライセンス オープンソース・コンポーネント(またはコンポーネントのコード・スニペット)をソフトウェアで使用する場合、そのコンポーネントの使用や再頒布の方法など、エンドユーザーが従うべき義務を記述した条文。ほとんどのオープンソース・ライセンスは、次の2つのカテゴリのいずれかに分類されます。 寛容型ライセンス 使用に関する制限が少ないものを寛容型ライセンスと呼びます。 一般に、この種のライセンスでは元のコードの作者に帰属する著作権を表示することが主な条件となります。 コピーレフト•ライセンス 一般に、コピーレフト・ライセンスには、改変および拡張したバージョンも元のコードと同じ条件でリリースする必要があり、要請があった場合は変更を含むソースコードを提供する必要があるという互恵型の義務が含まれます。コピーレフト・ライセンスのオープンソースをソフトウェアに組み込んで使用すると、