米シノプシス(Synopsys)はオープンソースソフトウエア(OSS)のリスクを分析した報告書「2019 Open Source Security and Risk Analysis(OSSRA)Report」を発表した。

 同社はソフトウエアに含まれるOSSを分析するサービスを手がける。企業買収の際に、対象企業のリスクを分析するデューデリジェンスの一環として、同社のサービスが使われているという。今回の調査報告書では、シノプシスが手がけた分析の中から、17業種、1200のコードベースについて匿名化してまとめた(図1)。業種はエンタープライズ・ソフトウエアが多いが、医療やAI、自動車なども含む。

図1 調査対象は17業種、1200のコードベース
(出所:シノプシス)
[画像のクリックで拡大表示]

 自動車は主にカーナビなど、インフォテインメントシステムのソフトウエアが多いという。インフォテインメントはLinuxをはじめ、OSSが多用されており、今後はクラウド連携が広がることから「OSSのリスクが高まっている」(日本シノプシス ソフトウエア・インテグリティ・グループ シニアセキュリティエンジニアの吉井雅人氏)と警鐘を鳴らす。

 今回の調査ではOSSはほぼすべての業種で見つかった(図2図3)。1000ファイル以上で構成される大規模なコードベースでは99%がOSSを利用していたという。コードベース1つ当たりのOSSコンポーネント数は平均298個で、コード全体の60%をOSSが占めていた。また、頻繁に使われるOSSはWebアプリケーションの画面表示に関するものが多かった。

図2 ほぼすべての業種がOSSを利用
(出所:シノプシス)
[画像のクリックで拡大表示]
図3 業種別のOSS比率
(出所:シノプシス)
[画像のクリックで拡大表示]

この先は会員の登録が必要です。今なら有料会員(月額プラン)が12月末まで無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら