2024 年で9 回目の発行を迎えた「オープンソース・セキュリティ&リスク分析(OSSRA)レポート」は、17業界にわたる1,000以上のコードベースで見つかった脆弱性とライセンスの競合を調査しています。本レポートは、セキュリティ、法務、リスク、開発チームが、オープンソースのセキュリティおよびライセンスのリスクの状況、特にソフトウェアのサプライチェーンを保護するための状況について理解を深めるのに役立つ推奨事項を提示しています。
オープンソースの普及とAIが生成するコードの増加により、より多くのアプリケーションがサードパーティのコードで構築されるようになりました。オープンソースは最新の開発と非常に相互接続されるようになり、セキュリティ・チームや開発チームはソフトウェア内のすべてのコンポーネントを特定するのに苦労しています。
脆弱性を含むコードベースの全体的な割合は前年と同じでしたが、高リスクの脆弱性を含むコードベースの割合が54%増加という驚異的な結果を示しました。
調査したコードベースの 49% に、過去 2 年間に新しい開発が行われていないオープンソースが含まれていました。さらに、リスク診断を受けた 900 以上のコードベースの 91% に最新バージョンから10 バージョン以上遅れたコンポーネントが含まれており、オープンソースの利用者はメンテナンスの実践を改善する必要があることを示しています。
オープンソースのセキュリティ、ライセンス、コード品質、メンテナンス・リスクの現状を深く掘り下げます