ある企業が自社システムにはオープンソースソフトウェア(OSS)を使っていないと考えていた。しかし、業務アプリを3つ任意に調べたところ、約400件のOSSコンポーネントが存在し、その中に286件の脆弱性が発見された。脆弱性には、3年前に大きな話題となったHeartbleedさえ含まれていた。
こう語ったのは、ブラック・ダック・ソフトウェア 代表取締役社長 ジェリー・フィズニック氏だ。ブラック・ダック・ソフトウェアは、OSSの脆弱性とライセンス管理ソリューションを提供する米企業である。
●IT産業のインフラ化しているOSS
現在、インターネット上のサービスを利用する、または関連のシステムを開発するのに、OSSの利用は避けて通れない。LinuxやAndroidは言うに及ばず、PHPやPostgreSQL、Apache、Apache Strutsといった開発ツールや環境、アプリ開発に必要なライブラリ、サービスコンポーネントに至るまで、いまやOSSを利用せず、ソフトウェア開発をするのは不可能といってもよい。
OSSの脆弱性管理やライセンス管理の認識が薄いのは、技術に暗い管理職が、無料で使えるならその他の制約もないだろうと誤解するのかもしれない。現場のエンジニアは自覚している人も少なくないだろうが、対策には管理職や経営層の理解が必要になる。あるいは、納期に追われ余分な手間を増やしたくないという本音もあるかもしれない。
しかし、自社が開発しているソフトウェアをOSSとして公開していないだけで、OSSはソフトウェア開発やITサービスのインフラのひとつなっている。
同社の調査によれば、世の中のソフトウェアの96%になんらかのOSSコンポーネントが含まれており、そのうち67%が既知の脆弱性を含んでいるとする。1アプリケーションあたり平均では、147のOSSコンポーネント、27の脆弱性が発見されるという。また、アプリケーションのうち85%はOSSのライセンスに抵触している可能性があるという意見も存在する。
●OSS特有のライセンス管理
企業がOSSを使うことはリスクにつながるのだろうか。
こう語ったのは、ブラック・ダック・ソフトウェア 代表取締役社長 ジェリー・フィズニック氏だ。ブラック・ダック・ソフトウェアは、OSSの脆弱性とライセンス管理ソリューションを提供する米企業である。
●IT産業のインフラ化しているOSS
現在、インターネット上のサービスを利用する、または関連のシステムを開発するのに、OSSの利用は避けて通れない。LinuxやAndroidは言うに及ばず、PHPやPostgreSQL、Apache、Apache Strutsといった開発ツールや環境、アプリ開発に必要なライブラリ、サービスコンポーネントに至るまで、いまやOSSを利用せず、ソフトウェア開発をするのは不可能といってもよい。
OSSの脆弱性管理やライセンス管理の認識が薄いのは、技術に暗い管理職が、無料で使えるならその他の制約もないだろうと誤解するのかもしれない。現場のエンジニアは自覚している人も少なくないだろうが、対策には管理職や経営層の理解が必要になる。あるいは、納期に追われ余分な手間を増やしたくないという本音もあるかもしれない。
しかし、自社が開発しているソフトウェアをOSSとして公開していないだけで、OSSはソフトウェア開発やITサービスのインフラのひとつなっている。
同社の調査によれば、世の中のソフトウェアの96%になんらかのOSSコンポーネントが含まれており、そのうち67%が既知の脆弱性を含んでいるとする。1アプリケーションあたり平均では、147のOSSコンポーネント、27の脆弱性が発見されるという。また、アプリケーションのうち85%はOSSのライセンスに抵触している可能性があるという意見も存在する。
●OSS特有のライセンス管理
企業がOSSを使うことはリスクにつながるのだろうか。
