本プレスリリースは The Linux Foundation and Harvard’s Lab for Innovation Science Release Census of Most Widely Used Open Source Application Libraries の参考訳です
Census II ー 運用とセキュリティで最も重要な、最も広く展開されている1,000以上のアプリケーションライブラリを特定
2022年3月2日 サンフランシスコ発 ー オープンソースを通じて大規模イノベーションを実現する非営利団体 Linux Foundationは、Census II 最終版「Census II of Free and Open Source Software – Application Libraries」を発表しました。これは、プレリミナリ版「Vulnerabilities in the Core, Preliminary Report and Census II of Open Source Software」に続くもので、商用およびエンタープライズアプリケーションのスキャンから発見された1,000以上の最も広く展開されているオープンソースアプリケーションライブラリを特定します。本調査は、どのオープンソースパッケージ/コンポーネント/プロジェクトが、プロアクティブな運用とセキュリティサポートを必要とするかを明らかにします。
オリジナルのCensusプロジェクト(Census I)は、Debian Linux ディストリビューションのどのソフトウェア パッケージがLinuxサーバーの運用とセキュリティに最も重要であるかを特定するために2015年に実施されました。今回の調査(Census II)の目的は、Census Iの続きとして、公共/民間組織が開発するアプリケーショ ンの中で、どのオープンソースソフトウェアが最も広く展開されているかを特定し、測定することです。
Census IIは、Software Composition Analysis(SCA:ソフトウェアコンポジション解析)パートナーであるSnyk、Synopsys Cybersecurity Research Center(CyRC)、FOSSAにより提供される匿名化された使用データを分析することにより、フリー アンド オープンソース ソフトウェア(FOSS)の採用状況についてより完全な全体像を可能にします。Census IIは、これらのパートナーによる何千もの企業でのコードベースのスキャンに基づいています。
Linux FoundationのOpen Source Security Foundation(OpenSSF)エグゼクティブディレクターであるBrian Behlendorfは、次のように述べています。
「社会でどのFOSSパッケージが最も広く使用されているかを理解することにより、私たちは運用とセキュリティの支援を必要とする重要プロジェクトに積極的に関与することができます。オープンソースソフトウェアは、銀行、学校、職場など、私たちの日常生活を支える基盤となっています。Census IIは、世界で最も重要で価値のあるインフラをサポートするために必要な基礎となる詳細情報を提供します。」
Census IIには、SCAパートナーから報告された個人使用データの中で最も使用された500のFOSSパッケージの8つのランキングが含まれています。これには、バージョン、構造、パッケージングシステムに基づくデータのさまざまなスライスが含まれます。 例えば、この調査により、アプリケーションで直接呼び出されるnpmパッケージマネージャーで利用可能な、バージョンに依存しない上位10個のパッケージを特定できます。
- lodash
- react
- axios
- debug
- @babel/core
- express
- semver
- uuid
- react-dom
- jquery
トップ500リスト全体を確認するには、Data.Worldにアクセスしてください。
調査は、レポートに詳述されている、以下の5つの調査結果を明らかにしました。
1) アプリケーションライブラリを一意に識別できるようにするための、ソフトウェアコンポーネントの標準化された命名規則の必要性
2) パッケージのバージョニングに関連する複雑さ ー SBOMガイダンスは、プライベートリポジトリではなく、そのパッケージの公開「メイン」リポジトリと一致するバージョニング情報を反映する必要がある。
3) 最も広く使用されているFOSSの多くは、ほんの一握りの貢献者により開発 ー あるデータセットによると、上位50のパッケージに追加されたコードの80%以上は136人の開発者により担われている。
4) 開発者個人のアカウントセキュリティの重要性の高まり ー OpenSSFは、より高いアカウントセキュリティを実現するために、MFAトークンまたは組織アカウントの使用を推奨している。
5) オープンソースにおけるレガシーソフトウェアの持続性
Census IIは、ハーバードビジネススクールのFrank Nagle氏、James Dana氏、Yanuo Zhou氏、ハーバード大学イノベーション科学研究所のJennifer Hoffman氏、Steven Randazzo氏により執筆されました。
ハーバードビジネススクールの准教授であるFrank Nagle氏は、次のように述べています。
「私たちの目標は、最も広く使用されているFOSSを特定するだけでなく、FOSSの分散した性質から、FOSSの価値とセキュリティを完全に理解するのに、いかにマルチパーティの取り組みを必要とするか、事例を提供することです。データの共有、調整、投資を通じてのみ、デジタル経済の重要なコンポーネントの価値は、次世代に引き継がれていきます。」
支援の声 (原文)
FOSSA
“Open source software plays a foundational role in enabling global economic growth. Of course, the ubiquitous nature of OSS means that severe vulnerabilities — such as Log4Shell — can have a devastating and widespread impact. Mounting a comprehensive defense against supply chain threats starts with establishing strong visibility into software — and we at FOSSA are thrilled to be able to contribute our market-leading SBOM capabilities and experience helping thousands of organizations successfully manage their open source dependencies to improve transparency and trust in the software supply chain.” – Kevin Wang, Founder & CEO, FOSSA
Snyk
“The Linux Foundation’s latest multi-party Census effort is further evidence that OSS is at the very heart of not only today’s modern application development process, but also plays an increasingly vital behind the scenes role throughout all of society,” said Guy Podjarny, Founder, Snyk. “We’re honored to have made significant contributions to this latest comprehensive assessment and welcome all future efforts that help to empower the developers building our future with the right information to also effectively secure it.”
Synopsys
“With businesses increasingly dependent upon open source technologies, if those same businesses aren’t contributing back to the open source projects they depend upon, then they are increasing their business risk. That risk ranges from projects becoming orphaned and containing potentially vulnerable code, through to implementation changes that break existing applications. The only meaningful way to mitigate that risk comes from assigning resources to contribute back to the open source powering the business. After all, while there are millions of developers contributing to open source, there might just be only one developer working on something critical to your success.” – Tim Mackey, Principal Security Strategist, Synopsys Cybersecurity Research Center
資料
レポートをダウンロード
関連ウェビナー : レポートの著者が詳細を解説
Linux Foundationについて
2000年に設立されたThe Linux Foundationは、2,000以上のメンバーによってサポートされており、オープンソース ソフトウェア、オープン スタンダード、オープン データ、およびオープン ハードウェアに関するコラボレーションのための世界有数の拠点です。 Linux Foundationのプロジェクトは、Linux、Kubernetes、Node.js、Hyperledger、RISC-Vなど世界のインフラストラクチャにとって重要なものです。 Linux Foundationの方法論は、ベストプラクティスを活用し、貢献者、ユーザー、ソリューション プロバイダーのニーズに対応し、オープン コラボレーションの持続可能なモデルを構築することに重点を置いています。詳細については、 linuxfoundation.org にアクセスしてください。
Linux Foundationはさまざまな登録商標および商標を使用しています。 Linux Foundationの商標の一覧については、こちらをご覧ください。
Linuxは、Linus Torvaldsの登録商標です。