メモ

オープンソースソフトウェアのセキュリティ対策を手掛ける米Black Duckは4月19日、企業などのアプリに使われているオープンソースコードの脆弱（ぜいじゃく）性に関する報告書を発表した。特に金融や小売り業界などのアプリで、高リスクの脆弱性が修正されないまま放置されている現状に警鐘を鳴らしている。
　Black Duckでは主に企業の合併や買収に関連したオープンソースコードの監査を行っており、2016年は1071件のアプリケーションについて監査を実施した。その結果、60％以上のアプリでオープンソースに起因する脆弱性が見つかったという。
　特に金融業界のアプリでは、オープンソースの脆弱性がアプリあたりの平均で約52件発見され、全体の60％に高リスクの脆弱性が含まれていた。また、小売りや電子商取引業界のアプリの場合、83％で高リスクの脆弱性が見つかったとしている。
　監査対象としたアプリケーションに含まれるオープンソースコンポーネントは平均で147件。ライセンスについて把握することも難しく、実際に85％のアプリでGPLライセンス違反などのライセンスに関する問題も発見された。

多くの企業アプリ、オープンソースに起因する脆弱性を放置 セキュリティ企業が警鐘 - ITmedia エンタープライズ