WhiteSource Softwareは3月12日(米国時間)、「The state of open source vulnerabilties 2020」において、2019年までのオープンソース・ソフトウェア(OSS)における脆弱性の傾向および2020年における予測を報告した。ソフトウェア産業ではOSSの重要性が増している。こうした状況を受けてOSSのセキュリティ研究に注目する人も増えており、2019年に公開されたOSSのセキュリティ脆弱性はこれまででもっとも記録的な数になったと説明されている。

報告書で取り上げられいる主な内容は次のとおり。

  • NVD (National Vulnerability Database)、多数のセキュリティアドバイザリ、査読済みの脆弱性データベース、人気のあるバグトラッカーなどの情報を集約して分析した結果、2019年にOSS関連で報告されたセキュリティ脆弱性の数は6,000件を超えており、2018年と比較して倍に近い増加となった
  • 報告されたOSSの脆弱性のうち、85%はすでに修正されたバージョンが提供されている
  • NVDに登録されるOSSの脆弱性は84%ほどで、それ以外はNVDに登録されていない。NVDに登録されていないOSSの脆弱性に関する情報公開は29%にとどまっている
  • C言語は使われている割合が多いため報告される脆弱性の数も多いが、過去10年でその割合は減少傾向を続けている。逆にPythonはシェアが増えているにもかかわらず脆弱性の割合が逆に減少している。シェアの増加がないもののPHPは逆に脆弱性の割合が増えている。C++やJavaも増加傾向を示している
  • The state of open source vulnerabilties 2020

    The state of open source vulnerabilties 2020

より短い期間でのソフトウェア開発を実施することが求められる現在、オープンソースソフトウェアコンポーネントの使用は必須といえる状況になっている。オープンソースソフトウェアのセキュリティ脆弱性について状況を把握しておくことは、こうした現在のソフトウェア開発において不可欠になりつつある。