SnykとThe Linux Foundationによる共同調査　オープンソースソフトウェアにおけるセキュリティの現状に関するレポート

本レポートでは、最新のアプリケーション開発においてオープンソースソフトウェアが広く使用されていることから生じる重大なセキュリティリスクと、これらのリスクを効果的に管理するための準備が多くの企業や組織で整っていない事実が明らかになりました。

主な調査結果
●     41%の企業がオープンソースソフトウェアのセキュリティを信頼していない
●     アプリケーション開発プロジェクトには平均で49件の脆弱性があり、80件の直接依存関係があることが判明
●     オープンソースプロジェクトにおける脆弱性の修正にかかる時間は確実に増加する一方で、2018年に49日だったものから2021年には110日と2倍以上に増加

Snyk デベロッパーリレーションズ、ディレクター、マット・ジャーヴィス氏のコメント
「現在のソフトウェア開発者は、独自のサプライチェーンを持っています。大きな部分を組み立てる代わりに、既存のオープンソースコンポーネントに独自のコードをパッチングしてコードを組み立てているのです。これは生産性の向上とイノベーションにつながりますが、同時にセキュリティ上の大きな懸念も生じています。このレポートでは、現在のオープンソースセキュリティの状況について、業界の甘さを示唆する証拠が広く発見されました。私たちは、The Linux Foundation とともに、この調査結果を活用して、世界中の開発者をさらに教育し、安全性を維持しながら高速なビルドを継続できるよう支援します」

Open Source Security Foundation (OpenSSF)、General Manager、Brian Behlendorf氏のコメント
「オープンソースソフトウェアは、開発者の効率を高め、イノベーションを加速させることは間違いありませんが、最新のアプリケーションを組み立てる方法は、セキュリティを確保することをより困難なものにしています。このレポートは、セキュリティリスクが現実であることを明確に示しています。一般的なオープンソースコンポーネントに脆弱性が発見され、組織が直接影響を受けるかどうか、どのように対応すべきかを把握するために奔走するという、あまりにもありふれたシナリオを回避するために、業界全体で協力する必要があるのです」

 
41％の組織がオープンソースソフトウェアのセキュリティを信頼していない
現代のアプリケーション開発チームは、あらゆるところからコードを活用しています。彼らは、自分たちが構築した他のアプリケーションのコードを再利用し、コードリポジトリを検索して、必要な機能を提供するオープンソースのコンポーネントを見つけます。オープンソースの利用には、開発者のセキュリティについて新しい考え方が必要ですが、多くの企業や組織ではまだ採用されていません。
また、本レポートにより、オープソースソフトウェアの開発または使用に関するセキュリティポリシーを策定している企業や組織は49％、中堅から大手企業ではわずか27％しか策定されていませんでした。
さらに、オープンソースセキュリティポリシーを持たない企業や組織の30%は、チーム内でオープンソースセキュリティに直接取り組んでいる人材がいないことを認めています。

 
平均的なアプリケーション開発プロジェクトに80の直接的な依存関係にまたがる49の脆弱性
オープンソースのコンポーネントをアプリケーションに組み込むと、開発者は即座にそのコンポーネントに依存することになり、そのコンポーネントに脆弱性が含まれていた場合、危険にさらされることになります。本レポートは、このリスクがいかに現実的であるかを示しており、評価した各アプリケーションの多くの直接的な依存関係において、数十の脆弱性が発見されています。
このようなリスクは、間接的な依存関係、つまり依存する依存関係によってさらに深刻化します。多くの開発者はこのような依存関係を知らないため、追跡とセキュリティ確保がより困難になっています。
しかし、本調査の回答者は、現在のソフトウェアサプライチェーンにおいて、オープンソースが生み出すセキュリティの複雑さをある程度認識しているようです：

●     調査回答者の4分の1以上が、直接依存関係におけるセキュリティの影響を懸念していると回答
●     推移的な依存関係に対して実施しているコントロールに自信があると答えた回答者は、わずか18%
●     全脆弱性の40%は、推移的な依存関係において発見された

 
脆弱性の修正にかかる時間が2018年の49日から2021年は110日と2倍以上に増加
アプリケーション開発が複雑化するにつれて、開発チームが直面するセキュリティ上の課題も複雑化しています。開発を効率化する一方で、オープンソースソフトウェアの使用は、修正の負担を増大させます。本レポートによると、オープンソースプロジェクトにおける脆弱性の修正には、プロプライエタリ（私有）なプロジェクトに比べて20%近く（18.75%）の時間がかかることが明らかになりました。


本レポートについて
オープンソースソフトウェアにおけるセキュリティの現状（The State of Open Source Security）レポートは、SnykとThe Linux Foundationによるパートナーシップで、OpenSSF、Cloud Native Security Foundation、Continuous Delivery Foundation、Eclipse Foundationがサポートしています。2022年第1四半期に行われた550人以上の回答者への調査と、13億以上のオープンソースプロジェクトを分析してきたSnyk Open Sourceのデータに基づいています。
 

Snykについて
Snykはデベロッパーファーストのセキュリティプラットフォームです。コードやオープンソースとその依存関係、コンテナやIaC(Infrastructure as Code) における脆弱性を見つけるだけでなく、優先順位をつけて修正するためのツールです。Gitや統合開発環境（IDE）、CI/CDパイプラインに直接組み込むことができるので、開発者が簡単に使うことができます。
Snykは現在、Asurion、Google、Intuit、MongoDB、New Relic、Revolut、Salesforceなどの業界リーダーを含む、世界中の1,500社以上の顧客に利用されています。
Snykは、Forbes Cloud 100 2021、2021 CNBC Disruptor 50、2021 Gartner Magic Quadrant for ASTでVisionaryに選ばれています。
ウェブサイト: https://snyk.io/jp
資料請求：https://go.snyk.io/jp-shiryoseikyu.html

 
The Linux Foundationについて
The Linux Foundation は、オープン テクノロジーの開発と商業的普及を加速するエコシステムを構築するために、世界のトップ開発者や企業から選ばれている組織です。世界中のオープン ソース コミュニティとともに、歴史上最大の共有技術投資を実現することで、最も困難な技術的問題を解決しています。2000 年に設立された The Linux Foundation は、今日、あらゆるオープン ソース プロジェクトを拡張するためのツール、トレーニング、イベントを提供しており、これらを組み合わせることで、一企業では達成できない経済効果を実現しています。詳細については、www.linuxfoundation.org をご覧ください。