Automatticは4月26日(米国時間)、「2017 Open Source Security and Risk Analysis Report Shows Widespread GPL License Conflicts - WordPress Tavern」において、Black Duckが発表した「2017 Open Source Security and Risk Analysis」を引き合いに出し、オープンソースソフトウェアの利用がどの分野においても進んでいるが、同時に脆弱性やライセンス遵守違反などのリスクも伴っていると伝えた。

調査の結果、対象となったアプリケーションの96%はオープンソースソフトウェアを含んでおり、この平均コンポーネント数は147だったという。こうしたアプリケーションの67%は脆弱性を含んでいたことも指摘している。含まれていた脆弱性にはHeartbleedやDrown、Freak、Poodleなど広範囲に影響を与えた重要度の高いものが含まれていたとされている。

加えて、対象となったアプリケーションの85%が何らかのライセンス違反を起こしており、75%のアプリケーションがGPLのコンポーネントを含んでいたとしている。過去の調査との比較も実施しており、GPLv2の割合が49%から19%へ減少した一方、MITが8%から29%へ増加、Apacheライセンスが5%から15%へ増加したことなども説明している。

オープンソースソフトウェアを製品に取り込む場合、GPL系のライセンスを懸念するベンダーは少なくない。こうしたベンダーはMITやApacheなど、取り込んでも問題が発生しないライセンスのコンポーネントを採用する傾向がある。また、ライセンスそのものに対する知識の欠如からライセンス違反が発生するプロダクトを取り込むケースも多数存在している。

一度取り込まれたオープンソースソフトウェアのコンポーネントは以降アップデートされることがなく、脆弱性を含んだ状態のまま使われ続けることが少なくない。オープンソースソフトウェアの活用はもはや避けて通ることはできない状況になっており、取り込んだオープンソースソフトウェアのアップデートなども管理を行ってく必要があると言える。

産業別オープンソースソフトウェアの活用状況 資料:Open Source Security and Risk Analysis (OSSRA)