84% のコードベースに既知のオープンソース脆弱性：開発ライフサイクルに可視性を！

Open Source Flaws Found in 84% of Codebases

2023/02/22 InfoSecurity — ５つのコードベースのうちの４つ以上 (84％) が、少なくとも１つの、既知のオープンソース脆弱性を含んでいるという。この数字は、Synopsys の Open Source Security and Risk Analysis Report (OSSRA) によるもので、昨年と比較して約 4% 増加しているとのことだ。また、この調査レポートが指摘するのは、Edtech 分野でのオープンソースの採用が 163% 増加し、宇宙／航空／自動車／輸送／物流の分野では 97%、製造およびロボットの分野では 74% 増加している点だ。

Synopsys Software Integrity Group の Senior Software Solutions Manager である Mike McGuire は、「今風の開発スピードで、オープンソースのリスクを管理するためのカギは、アプリケーション・コンテンツの完全な可視性を維持することだ。つまり、アプリケーション・ライフサイクルに、この可視性を組み込むことで、企業におけるリスクは低減される。必要十分な情報を得た上で、タイムリーな意思決定を行うことが可能となる」と述べている。

これまでの５年間において、2019年から高リスクの欠陥は大幅に増加し、特に小売／電子商取引分野では 557% も増加している。

さらに Synopsys が明らかにしたのは、コードベースの 31% が、ライセンスが判別できない OSS に、または、カスタマイズされたライセンスの OSS に依存しており、昨年から 55% も増加している点である。また、監査対象となったコードベースの 91% において、古いバージョンの OSS コンポーネントが含まれていた。

McGuire は、「どのような種類のサードパーティ・ソフトウェアであっても、それを利用する組織は、OSS が当たり前にように含まれていると考えるべきだ。そのことを確認し、関連するリスクを把握することは、SBOM [software Bill of Materials] を入手するのと同じくらい簡単だ。それは、ソフトウェア・サプライチェーンを保護するために必要な措置を講じているベンダーであれば、簡単に提供できるものだ」と述べている。

この 2023 OSSRA レポートは、合併や買収で生じた商用コードベースなど 1700件以上の監査結果をまとめ、17 業種にわたる傾向を明らかにしている。また、オープンソースの開発／利用におけるセキュリティ・リスクに対して、ユーザー企業が適切に向き合うための、さまざまな提言も含まれている。

先日には、Sonatype の研究者たちが、npm／PyPI のオープンソース・リポジトリで、700以上の悪意の OSS パッケージを発見した。その数週間後に、この新しいデータが発表されている。

コードベースの 84% に脆弱性が存在するという、驚くべきデータですが、よくよく考えると、妥当な数字なのかもしれません。そういえばと思い調べてみたら、2023/02/01 の「コンテナ・イメージのセキュリティ調査：全体の 87% に深刻な脆弱性が存在する」も、同じような数値を示していました。コードベースとコンテナを並べることには無理がありますが、脆弱性の分布度という意味では同じかもしれません。よろしければ、DevSecOps ページを、ご参照ください。