全1247文字
PR

 米シノプシス(Synopsys)はオープンソースソフトウエア(OSS)のリスクを分析した報告書「2019 Open Source Security and Risk Analysis(OSSRA)Report」を発表した。

 同社はソフトウエアに含まれるOSSを分析するサービスを手がける。企業買収の際に、対象企業のリスクを分析するデューデリジェンスの一環として、同社のサービスが使われているという。今回の調査報告書では、シノプシスが手がけた分析の中から、17業種、1200のコードベースについて匿名化してまとめた(図1)。業種はエンタープライズ・ソフトウエアが多いが、医療やAI、自動車なども含む。

図1 調査対象は17業種、1200のコードベース
図1 調査対象は17業種、1200のコードベース
(出所:シノプシス)
[画像のクリックで拡大表示]

 自動車は主にカーナビなど、インフォテインメントシステムのソフトウエアが多いという。インフォテインメントはLinuxをはじめ、OSSが多用されており、今後はクラウド連携が広がることから「OSSのリスクが高まっている」(日本シノプシス ソフトウエア・インテグリティ・グループ シニアセキュリティエンジニアの吉井雅人氏)と警鐘を鳴らす。

 今回の調査ではOSSはほぼすべての業種で見つかった(図2図3)。1000ファイル以上で構成される大規模なコードベースでは99%がOSSを利用していたという。コードベース1つ当たりのOSSコンポーネント数は平均298個で、コード全体の60%をOSSが占めていた。また、頻繁に使われるOSSはWebアプリケーションの画面表示に関するものが多かった。

図2 ほぼすべての業種がOSSを利用
図2 ほぼすべての業種がOSSを利用
(出所:シノプシス)
[画像のクリックで拡大表示]
図3 業種別のOSS比率
図3 業種別のOSS比率
(出所:シノプシス)
[画像のクリックで拡大表示]