OSSプロジェクトの脆弱性修正にかかる時間が増加したとの調査結果

先日、Snyk が Linux Foundation の協力によってまとめた調査結果によるとOSSプロジェクトの脆弱性修正にかかる時間が長くなる傾向がみられるとの報告がありました。

Snyk はデベロッパーファーストのセキュリティプラットフォームを謳っており、コードやオープンソースとの依存関係、コンテナやIaC（Infrastructure as Code）における脆弱性を見つけることができるツールです。
そうしたところが提供している報告書なので、中身については冷静な目で見る必要がありますが、書かれている内容については納得性の高いものでした。

OSSプロジェクトの脆弱性を修正するのにかかる時間は、平均49日間から114日間へと増大しており、プロプライエタリプロジェクトよりも18.75%長い時間を要すると報告されています。
その要因の一つに挙げているのが、OSSパッケージの依存関係により発生するソフトウェアサプライチェーンの複雑さがあるそうです。
最新のソフトウェアアプリケーションの重要な要素であるOSSパッケージは、多くの依存関係があり、プロジェクトごとの平均数は80にも及んでいます。
多くのパッケージを利用すれば、当然その分だけ脆弱性が紛れ込む可能性も増え、また同時に、それらのパッケージの脆弱性調査にも非常に時間が掛かってしまう、ということにも納得性があります。

他にもプロジェクトのセキュリティ責任者は誰なのかという質問に対して、セキュリティポリシーを持たない組織の内の30%が、チーム内の誰もがOSSセキュリティに取り組んでいないと回答していました。
これは一部のプロジェクトにおいては、セキュリティ意識が低い、あるいはそこにかけるだけのリソースが割けない、などといった原因が上げられそうです。

ですから「みんなで Snyk 使いましょう！」というのが本報告書の隠れた趣旨であるのは明白なので、ご興味のある方は試してみては如何でしょうか。フリープランもあるようですよ。

いずれにせよ、自身の関わっているプロジェクトや利用しているOSSの脆弱性については、与えられるのを待つだけではなく、自ら率先して対応するといった姿勢を持つことが大事だなと、改めて確認できた良い報告書でした。

※本記事は弊社保守サポートサービスに加入された方向けの情報配信メルマガ「OSSサポートサービスメールマガジン」から転記しております。

お問い合わせ

弊社では様々なサービスを取り扱っております。
詳細はサービス一覧からご覧ください。