Black Duck、オープンソースソフトウェアの2018年トレンド予測を発表
[17/11/27]
提供元:DreamNews
提供元:DreamNews
オープンソースの安全性確保と管理の自動化ソリューションの分野で世界最大手のBlack Duck Software, Inc. (日本法人:ブラック・ダック・ソフトウェア株式会社、東京都渋谷区、以下Black Duck)は本日、2018年のオープンソースソフトウェアに関するトレンド予測を発表しました。
1. 機械学習が指数関数的に増加:Black Duck Open Source Rookie Awardを受賞した、Amazon DSSTNEのようなオープンソースプロジェクトがこの流れを牽引。
理由:「プロジェクトを拡大させたいのなら、コードをオープンソースにすれば発展は保証される」。これは、DSSTNE公開の際のAmazonの言葉です。DSSTNEは、オープンソースの機械学習フレームワークで、当初は同社の商品推奨システムを向上させるために開発されました。このようなフレームワークがオープンソースとしてリリースされているため、企業・組織は、ネットワークトラフィック分析を通じての悪質なコードおよびアクターの発見、医療での診断向上など、機械学習のさまざまな用途を継続的に見つけるようになるでしょう。
2. 2018年には、米国政府のコードレポジトリ(code.gov)で入手可能なテクノロジーをベースとしたオープンソースソフトウェア「unicorn」が誕生。
理由:ホワイトハウスは、他の部門のニーズを満たす目的で書かれた、既存のコードの再使用、改良および多用途での利用を推進するイニシアティブの一環として、code.govを立ち上げました。この取り組みでは、国防総省から食品医薬品局に至る、すべての政府機関が、その機関向けにカスタム開発された全コードのうちの少なくとも20%を一般に開放することが義務化されています。2018年には、このイニシアティブを通じて利用可能となった技術から、非政府系のオープンソースソフトウェア「unicorn」が誕生するでしょう。
3. 2018年には、自動車業界が既知のオープンソース脆弱性を狙った攻撃に晒され、複数の自動車ブランドおよびメーカーが影響を受ける。
理由:オープンソースの利用はあらゆる業界に浸透していますが、自動運転車およびコネクテッドカーの急速な発展によって、より多くのソフトウェアが導入されるようになります。その結果、あらゆる自動車メーカーのサプライチェーンは、より多くのオープンソースコードを使用することとなります。ハッカーは、複数の自動車の製造工程およびモデルに関与するオープンソースコンポーネントの脆弱性を攻撃し、生命の危険を脅かす事故を引き起こすでしょう。悪名高い「Jeepハッカー」は、複数のカーシステムへのハッキングが可能であることを表明しています。オープンソースコンポーネントの使用が増え、その一方でネットワーク接続機能を持つ自動車が増えたということは、ソフトウェアサプライチェーン内でオープンソースセキュリティをしっかりと監視できないベンダーが攻撃を受けるリスクが増えたということに他ならないのです。
4. ドローンが、自然災害救援活動で中心的な役割を担う。
理由:ドローンコミュニティは、誰もが使用、共有および改良できるように、Web上でコードを共有してきました。dronecode.orgやpx4.io、diydrones.com、GitHubといったサイトはすべてオープンソースを使った専門的な自動操縦ソリューションをホストしています。このような無人航空機でオープンソースの使用が増えることにより、自然災害の被害を受けた人々を救助する可能性が広がるかもしれません。医療キットや食料、情報(AmazonAirなどのドローンでは最大5ポンド(約2.3kg)まで)を、すべて危険な状況下でファーストレスポンダー(初期対応者)をリスクに晒すことなく、必要とする人へ安全に輸送することが可能になるでしょう。
5. 2018年5月25日、GDPRが施行。大規模な不正侵入が即座に開示されるようになり、EUがデータの機密性と保護をいかに重要視しているか、ならびにEU圏の市民のプライバシーを保護できなかった組織がどれほど多くの代償を払わなければならないかが試される。
理由:2018年5月25日にGDPRが「稼働」します。不正侵入が定期的に発生する場合、EUは発生から短期間で大規模組織に罰金を科すものと予想されます。ここ数か月でもっとも悪名高い不正侵入であるEquifaxの場合であれば、EU一般データ保護規則だけでも、最大で1億2,600万ドルあるいは全世界での年間売上の4%の罰金が科せられていたことでしょう。2018年5月25日以降、規則に従わない企業には多額の罰金が課せられるでしょう。
6. オープンソースソフトウェア関連の財団がクリティカルなコンポーネントのセキュリティ評価で中心的な役割を担い、その結果、これら財団がオープンソースの世話役というよりは、商業的な配布ポイントとしての機能を担う。
理由:オープンソースコンポーネントの大規模なセキュリティ開示が増えてきており、Linux Foundationがこの役割を担ってきました。開示が増えるにつれ、これら財団がより積極的に行動を起こすようになり、それが標準となるでしょう。
1. 機械学習が指数関数的に増加:Black Duck Open Source Rookie Awardを受賞した、Amazon DSSTNEのようなオープンソースプロジェクトがこの流れを牽引。
理由:「プロジェクトを拡大させたいのなら、コードをオープンソースにすれば発展は保証される」。これは、DSSTNE公開の際のAmazonの言葉です。DSSTNEは、オープンソースの機械学習フレームワークで、当初は同社の商品推奨システムを向上させるために開発されました。このようなフレームワークがオープンソースとしてリリースされているため、企業・組織は、ネットワークトラフィック分析を通じての悪質なコードおよびアクターの発見、医療での診断向上など、機械学習のさまざまな用途を継続的に見つけるようになるでしょう。
2. 2018年には、米国政府のコードレポジトリ(code.gov)で入手可能なテクノロジーをベースとしたオープンソースソフトウェア「unicorn」が誕生。
理由:ホワイトハウスは、他の部門のニーズを満たす目的で書かれた、既存のコードの再使用、改良および多用途での利用を推進するイニシアティブの一環として、code.govを立ち上げました。この取り組みでは、国防総省から食品医薬品局に至る、すべての政府機関が、その機関向けにカスタム開発された全コードのうちの少なくとも20%を一般に開放することが義務化されています。2018年には、このイニシアティブを通じて利用可能となった技術から、非政府系のオープンソースソフトウェア「unicorn」が誕生するでしょう。
3. 2018年には、自動車業界が既知のオープンソース脆弱性を狙った攻撃に晒され、複数の自動車ブランドおよびメーカーが影響を受ける。
理由:オープンソースの利用はあらゆる業界に浸透していますが、自動運転車およびコネクテッドカーの急速な発展によって、より多くのソフトウェアが導入されるようになります。その結果、あらゆる自動車メーカーのサプライチェーンは、より多くのオープンソースコードを使用することとなります。ハッカーは、複数の自動車の製造工程およびモデルに関与するオープンソースコンポーネントの脆弱性を攻撃し、生命の危険を脅かす事故を引き起こすでしょう。悪名高い「Jeepハッカー」は、複数のカーシステムへのハッキングが可能であることを表明しています。オープンソースコンポーネントの使用が増え、その一方でネットワーク接続機能を持つ自動車が増えたということは、ソフトウェアサプライチェーン内でオープンソースセキュリティをしっかりと監視できないベンダーが攻撃を受けるリスクが増えたということに他ならないのです。
4. ドローンが、自然災害救援活動で中心的な役割を担う。
理由:ドローンコミュニティは、誰もが使用、共有および改良できるように、Web上でコードを共有してきました。dronecode.orgやpx4.io、diydrones.com、GitHubといったサイトはすべてオープンソースを使った専門的な自動操縦ソリューションをホストしています。このような無人航空機でオープンソースの使用が増えることにより、自然災害の被害を受けた人々を救助する可能性が広がるかもしれません。医療キットや食料、情報(AmazonAirなどのドローンでは最大5ポンド(約2.3kg)まで)を、すべて危険な状況下でファーストレスポンダー(初期対応者)をリスクに晒すことなく、必要とする人へ安全に輸送することが可能になるでしょう。
5. 2018年5月25日、GDPRが施行。大規模な不正侵入が即座に開示されるようになり、EUがデータの機密性と保護をいかに重要視しているか、ならびにEU圏の市民のプライバシーを保護できなかった組織がどれほど多くの代償を払わなければならないかが試される。
理由:2018年5月25日にGDPRが「稼働」します。不正侵入が定期的に発生する場合、EUは発生から短期間で大規模組織に罰金を科すものと予想されます。ここ数か月でもっとも悪名高い不正侵入であるEquifaxの場合であれば、EU一般データ保護規則だけでも、最大で1億2,600万ドルあるいは全世界での年間売上の4%の罰金が科せられていたことでしょう。2018年5月25日以降、規則に従わない企業には多額の罰金が課せられるでしょう。
6. オープンソースソフトウェア関連の財団がクリティカルなコンポーネントのセキュリティ評価で中心的な役割を担い、その結果、これら財団がオープンソースの世話役というよりは、商業的な配布ポイントとしての機能を担う。
理由:オープンソースコンポーネントの大規模なセキュリティ開示が増えてきており、Linux Foundationがこの役割を担ってきました。開示が増えるにつれ、これら財団がより積極的に行動を起こすようになり、それが標準となるでしょう。