Sonatypeは最近、「2018年オープンソースセキュリティとリスク分析」レポートを発表しました。このレポートでは、オープンソースアプリケーションの大幅な増加が示されています。テスト対象となったアプリケーションの96%にオープンソースコンポーネントが含まれており、脆弱性を含むソフトウェアの数も増加傾向にあります。オープンソース業界の継続的な発展に伴い、ソフトウェアセキュリティの問題への対応は喫緊の課題となっています。

レポートによると、脆弱なオープンソースコンポーネントはあらゆる業界のアプリケーションで発見されており、インターネットおよびソフトウェアインフラ業界はアプリケーションの67%に高リスクの脆弱性が見つかり、最も多く報告されています。皮肉なことに、サイバーセキュリティ業界ではアプリケーションの41%に高リスクの脆弱性が見つかり、4位にランクインしています。コードベースで監査された脆弱性の54%以上が高リスクに分類され、コードベースの17%にはHeartbleed、Logjam、Freak、Drown、Poodleといったよく知られた脆弱性が含まれていました。

「当社の調査によると、世界で最も強力で成功している企業でさえ、安全でないコードを構築していることが判明しています。例えば、フォーチュン・グローバル100企業の57%が、開発用にApache Strutsの既知の脆弱性バージョンをダウンロードしていました」と、Sonatypeのバイスプレジデントであるデレク・ウィークスは述べています。オープンソースソフトウェアの普及により、脆弱性のあるソフトウェアを使用している製品は、脆弱性が存在すると危険なものとなります。このレポートは、脆弱なStrutsの例に見られるように、組織がコードベースに脆弱性を蓄積し続けていることを明確に示しています。

ウィークス氏はさらにこう続けた。「開発を加速させるために、これほどまでに無料のオープンソースコンポーネントに大きく依存したことはありません。しかし、オープンソースソフトウェアを使用する際には、セキュリティの問題にも注意を払い、効率性だけを追求するべきではありません。」