41%の企業がOSSのセキュリティを信頼していない
SnykとThe Linux Foundationによる共同調査
デベロッパーファーストのセキュリティプラットフォームを提供するSnyk株式会社は、The Linux Foundationとの共同調査を実施し、「オープンソースソフトウェアにおけるセキュリティの現状(The State of Open Source Security)」レポートを公開した。
本レポートでは、最新のアプリケーション開発においてオープンソースソフトウェアが広く使用されていることから生じる重大なセキュリティリスクと、これらのリスクを効果的に管理するための準備が多くの企業や組織で整っていない事実が明らかになった。
主な調査結果
● 41%の企業がオープンソースソフトウェアのセキュリティを信頼していない
● アプリケーション開発プロジェクトには平均で49件の脆弱性があり、80件の直接依存関係があることが判明
● オープンソースプロジェクトにおける脆弱性の修正にかかる時間は確実に増加する一方で、2018年に49日だったものから2021年には110日と2倍以上に増加
Snyk デベロッパーリレーションズ、ディレクター、マット・ジャーヴィス氏のコメント
「現在のソフトウェア開発者は、独自のサプライチェーンを持っています。大きな部分を組み立てる代わりに、既存のオープンソースコンポーネントに独自のコードをパッチングしてコードを組み立てているのです。これは生産性の向上とイノベーションにつながりますが、同時にセキュリティ上の大きな懸念も生じています。このレポートでは、現在のオープンソースセキュリティの状況について、業界の甘さを示唆する証拠が広く発見されました。私たちは、The Linux Foundation とともに、この調査結果を活用して、世界中の開発者をさらに教育し、安全性を維持しながら高速なビルドを継続できるよう支援します」
Open Source Security Foundation (OpenSSF)、General Manager、Brian Behlendorf氏のコメント
「オープンソースソフトウェアは、開発者の効率を高め、イノベーションを加速させることは間違いありませんが、最新のアプリケーションを組み立てる方法は、セキュリティを確保することをより困難なものにしています。このレポートは、セキュリティリスクが現実であることを明確に示しています。一般的なオープンソースコンポーネントに脆弱性が発見され、組織が直接影響を受けるかどうか、どのように対応すべきかを把握するために奔走するという、あまりにもありふれたシナリオを回避するために、業界全体で協力する必要があるのです」
41%の組織がオープンソースソフトウェアのセキュリティを信頼していない
現代のアプリケーション開発チームは、あらゆるところからコードを活用している。彼らは、自分たちが構築した他のアプリケーションのコードを再利用し、コードリポジトリを検索して、必要な機能を提供するオープンソースのコンポーネントを見つける。オープンソースの利用には、開発者のセキュリティについて新しい考え方が必要だが、多くの企業や組織ではまだ採用されていない。
また、本レポートにより、オープソースソフトウェアの開発または使用に関するセキュリティポリシーを策定している企業や組織は49%、中堅から大手企業ではわずか27%しか策定されていなかった。
さらに、オープンソースセキュリティポリシーを持たない企業や組織の30%は、チーム内でオープンソースセキュリティに直接取り組んでいる人材がいないことを認めている。
平均的なアプリケーション開発プロジェクトに80の直接的な依存関係にまたがる49の脆弱性
オープンソースのコンポーネントをアプリケーションに組み込むと、開発者は即座にそのコンポーネントに依存することになり、そのコンポーネントに脆弱性が含まれていた場合、危険にさらされることになる。本レポートは、このリスクがいかに現実的であるかを示しており、評価した各アプリケーションの多くの直接的な依存関係において、数十の脆弱性が発見されている。
このようなリスクは、間接的な依存関係、つまり依存する依存関係によってさらに深刻化する。多くの開発者はこのような依存関係を知らないため、追跡とセキュリティ確保がより困難になっている。
しかし、本調査の回答者は、現在のソフトウェアサプライチェーンにおいて、オープンソースが生み出すセキュリティの複雑さをある程度認識しているようだ:
● 調査回答者の4分の1以上が、直接依存関係におけるセキュリティの影響を懸念していると回答
● 推移的な依存関係に対して実施しているコントロールに自信があると答えた回答者は、わずか18%
● 全脆弱性の40%は、推移的な依存関係において発見された
脆弱性の修正にかかる時間が2018年の49日から2021年は110日と2倍以上に増加
アプリケーション開発が複雑化するにつれて、開発チームが直面するセキュリティ上の課題も複雑化している。開発を効率化する一方で、オープンソースソフトウェアの使用は、修正の負担を増大させる。本レポートによると、オープンソースプロジェクトにおける脆弱性の修正には、プロプライエタリ(私有)なプロジェクトに比べて20%近く(18.75%)の時間がかかることが明らかになった。
本レポートについて
オープンソースソフトウェアにおけるセキュリティの現状(The State of Open Source Security)レポートは、SnykとThe Linux Foundationによるパートナーシップで、OpenSSF、Cloud Native Security Foundation、Continuous Delivery Foundation、Eclipse Foundationがサポートしている。2022年第1四半期に行われた550人以上の回答者への調査と、13億以上のオープンソースプロジェクトを分析してきたSnyk Open Sourceのデータに基づいている。