最も使用されているフリー/オープンソースソフトウェア (FOSS) に関する調査レポート「Census II - FOSS普及調査 : アプリケーション ライブラリ編」日本語版が本日公開されました。
FOSSは産業全体に浸透しており、FOSSの健全性とセキュリティを確保することは、現代経済におけるほぼすべての産業の将来にとって必要不可欠です。FOSSエコシステムの健全性とセキュリティを確保するためには、どのFOSSが使用されているか、そしてどの程度サポートされ、維持されているかを理解することが重要です。
Census II - FOSS普及調査 : アプリケーション ライブラリ編 (以下 Census II) は、Linux Foundationと、ハーバード大学イノベーション科学研究所 (LISH) 、Open Source Security Foundation (OpenSSF) のパートナーシップにより実施されました。公共/民間組織が開発するアプリケーションの中で、どのFOSSが最も広く展開されているかを特定し、どのFOSSパッケージ/コンポーネント/プロジェクトが、より積極的な運用とセキュリティサポートを必要とするかを明らかにしています。
Census IIは、ソフトウェア構成分析(Software Composition Analysis)パートナーであるSnyk、Synopsys Cybersecurity Research Center (CyRC)、FOSSAにより提供される匿名化された使用データを分析することにより、FOSSの採用状況についてより完全な全体像を可能にします。Census IIは、これらのパートナーによる何千もの企業でのコードベースのスキャンに基づいています。
Census II 調査レポート (PDF 162ページ) は、こちらからダウンロードできます。
- 日本語版「Census II - FOSS普及調査 : アプリケーション ライブラリ編」
- オリジナル版 (英語)「Census II of Free and Open Source Software — Application Libraries」
本調査レポートについて
フリー/オープンソースソフトウェア(FOSS)は、現代経済において重要な役割を果たすようになりました。コードベースの最大98%にFOSSが含まれていると推定されており[1]、ソフトウェアはほぼすべての業界でますます重要なリソースとなっています。このFOSSへの依存度の高さは、公共部門と民間部門の両方で共通して見られ[2]、テクノロジー企業と非テクノロジー企業の間でも共通して見られます[3]。したがって、FOSSの健全性と安全性を確保することは、現代経済におけるほぼすべての産業の将来にとって必要不可欠です。
これは、OpenSSL(コンピュータネットワーク上で安全な通信を行うために広く使用されているオープンソースのコマンドラインツールとライブラリ)やlog4j(Apache Software Foundationが提供するJavaベースのロギングユーティリティ)など、広く使用されているFOSSに見つかった脆弱性をきっかけに、より明らかになりました。
しかし、FOSSの健全性と安全性を完全に把握することは、次の2つの理由から困難です。1つは、FOSSは非中央集権的、分散的に開発されるので、すべてのFOSSの品質とメンテナンスを保証する中央機関が存在しません。もう1つは、FOSSは自由にコピーや変更が可能なので、どのFOSSプロジェクトが広く利用されているか、正確には分かりません。
FOSSエコシステムの将来の健全性とセキュリティを確保するためには、どのFOSSが使用されているか、そしてどの程度サポートされ、維持されているかを理解することが重要です。Censusプロジェクト (Census I) は、Debian Linux ディストリビューションのどのソフトウェア パッケージがLinuxサーバーの運用とセキュリティに最も重要であるかを特定するために2015年に実施されました。今回の調査 (Census II) は、Census Iの続きとして、公共/民間組織が開発するアプリケーションの中で、どのオープンソースソフトウェアが最も広く展開されているかを特定し、測定しています。
- LF Researchレポート「SBOMの導入によるライセンス遵守とソフトウェア セキュリティの強化」を公開 - 2024-10-10
- SBOMの導入によるライセンス遵守とソフトウェア セキュリティの強化 - 2024-10-10
- 11月1日開催 SLSAワークショップ (第3回 Meetup) のご案内 - 2024-10-09