米国における低品質ソフトウェアのコスト:2022年版レポート 日本語版 | シノプシス

目次 1.2022年度エグゼクティブ・サマリー.......................................................................................42.前回のCPSQレポートの概要....................................................................................................73.ソフトウェアの失敗事例と新たな欠陥モデル......................................................................104.サイバー犯罪によるコストの上昇..........................................................................................165.OSSとソフトウェア・サプライチェーン（Software Supply Chains/SSC）...............196.技術的負債(TD).........................................................................................................................247.ソフトウェア品質標準..............................................................................................................278.欠陥を理解し、見つけ出し、修正する..................................................................................309.ソフトウェア・エンジニアリングにおける人工知能(Artificial Intelligence/AI)と機械学習(Machine Learning/ML)............................................................................................................3410.まとめ、推奨そして次の段階へ..............................................................................................4011.謝辞..............................................................................................................................................44付録A: 2020年度版CPSQレポートの概要................................................................................45付録B: CPSQの推定方法...............................................................................................................49 図表一覧 図1-0：米国における2022年度のCPSQ4図1-1：DevQualOpsモデル5図2-1：2020年のCPSQ8図2-2：ソフトウェアエンジニアのCPSQスプレッドシート8表3-1：大規模なソフトウェアの失敗事例2021-202210表3-2：CWEトップ2514表3-3：CVEトップ1515図4-1：米国におけるサイバー犯罪の傾向：過去12年16図4-2：2020年におけるランサムウェアの影響17図5-1：SynopsysによるOSSコンポーネントの調査結果20図5-2：SynopsysによるOSSコンポーネントの調査結果–業種別21図5-3：SynopsysによるOSSコンポーネントの調査結果–保守されていない21図5-4：SynopsysによるOSSコンポーネントの調査結果–重大度「高」のバグのパッチ未適用21図5-5：NISTによる脆弱性調査結果–ベンダー別22図5-6：NISTによる脆弱性調査結果–弱点別22図6-1：SonarのDevOpsモデル25図7-1：脆弱性、弱点およびエクスプロイト28図7-2：CISQのDevQualOpsモデル29図8-1：ソフトウェアの欠陥を理解し、見つけ、修正する31 図8-2：Undoによるタイムトラベル・デバッグの調査結果図9-1：既存のコードを理解するために費やす時間図10-1：米国における選挙技術の多様性：2020年総選挙 323442 著作権表示 © 2022Consortium for Information & Software QualityTM(CISQTM). All rights reserved. You maydownload, store, display on your computer,view, print, and link to The Cost of Poor SoftwareQualityin the US: A 2022Report at the CISQ Web site subject to the following: (a) the Guidancemay be used solely for your personal, informational, non-commercial use; (b) the Guidance maynot be modified or altered in any way; (c) the Guidance may not be redistributed; and (d) thetrademark, copyright or other notices may not be removed. You may quote portions of theGuidance as permitted by the Fair Use provisions of the United States Copyright Act, providedthat you attribute the portions to the CISQ The Cost of Poor SoftwareQualityin the US: A 2022Report. 1.2022年度エグゼクティブ・サマリー この隔年の報告書の背景をなす主要な米国の経済指標は以下の通り： •2022年のGDPの予測値は23兆3,500億ドルで、2020年から約2%増加•2年間で15%のインフレ率•この2年間でIT労働力ベースの増加はわずか4%で、1兆5,100億ドルに•8月末の時点で、IT分野の求人数は約300,000に達している この2022年の更新レポートでは、米国でのソフトウェア品質の低下によるコストが少なくとも2.41兆ドルに増加したと推定1しますが、2020年に見られたのと同じ比率ではありません。蓄積されたソフトウェア技術負債(TD)は~1.52兆ドルに増加1しています。 今年のレポートでの三つの主な問題領域： 1.既存のソフトウェアの脆弱性によるサイバー犯罪の被害額が急増 •損失額は2020年から2021年にかけて64%増加。2022年の損失額は未確定•いくつかの重要インフラへの攻撃は、過去2年間に甚大な痛みと苦しみをもたらした（例:コロニアルパイプライン） 2.基盤となるサードパーティ・コンポーネント（特にオープンソース・ソフトウェア/OSS)に関するソフトウェアサプライチェーンの問題が大幅に増加。 •2021年、組織の77%が、オープンソースソフトウェアの使用が増加していると報告。•中規模アプリケーション（100万コード行未満）には、平均で200～300のサードパーティ・コンポーネントが含まれる。•ソフトウェア・サプライチェーンのオープンソースの弱点に起因する障害の数は、2020年から2021年の間に650%増加。 3技術的負債(TD)の増大による影響が、既存のコードベースに変更を加える際の最大の障害 •TDの元本は最大1.52兆ドルに増加(欠陥が修正されていないため)。•今後10年間でコンピュータ/IT関連の職は15%増加すると予測されているが、8月末時点で、米国のIT求人の不足数は約300,000に留まっている•2019年後半には、2025年までにIT予算の40%が単にTDの維持に費やされると予測されており、これが多くのモダナイゼーション・プロジェクトが失敗する主な理由となっている。•企業の平均的な開発者が「TD」に対処するために費やす時間は13.5時間/週で全体（41.1時間/週）の約33%。 この2022年のレポートでは、現在のソフトウェア品質の低さを改善し、近い将来にCPSQの成長率を安定化/低下させるために、最近の開発と新たなソリューションに注意を向けます。 私たちが焦点を当てる3つの主要なソリューション領域には、ソフトウェアの欠陥を見つけて修正するのに役立つ最新のツールと、増大するTDを削減する機会を特定するのに役立つ標準とツールの新たなトレンドが含まれます。これらは、ソフトウェア品質の問題を制御するための最も可能性の高い方法であると考えており、以下に焦点を当てています： •品質標準/ソフトウェアの問題分類法•不具合/TDを理解し、見つけ出して修正するためのツール•ソフトウェア・エンジニアリング向けのAI/機械学習(ML)ツール これらの新しいソリューション分野はすべて、2020年に導入されたDevQualOpsモデルのサポートに焦点を当てています。ソフトウェア・セキュリティはソフトウェア品質のサブカテゴリであるため、DevSecOpsはDevQualOpsのサブモデルと見なすことができます。 一連の3つのレポートで、CPSQとTD（技術的負債）は大幅に上昇しましたが、これらの問題を修正するためのテクノロジ/プラクティスの開発（解決策）も同様に大幅な上昇を見せています。 この一連のレポートで提案した推奨事項を、組織が採用する場合、全体的なCPSQの傾向は次の10年間で横ばいになる（上昇を押し留める）可能性があります。ここで提案されたソリューションが、ソフトウェアの概念、開発、生産、および進化の主流に広く採用されることを願っています。 以前のレポートの広範な推奨事項に加えて、ソフトウェア開発およびIT組織向けの次のより具体的な推奨事項を追加します： •ソフトウェアの品質基準、関連する測定値、登場し始めた新しいツールを使用する•システムに含まれるすべてのサードパーティ/OSSコンポーネントの品質を分析および評価し、動作中はそれらを注意深く監視し、適時にパッチを適用する•継続的な品質エンジニアリングのベスト・プラクティスとツールを含まないDevOpsやCI/CDモデルを避ける•継続的なTDの改善をSDLCに統合•ソフトウェアエンジニアのプロ意識と知識に投資•OMGが2023年後半または2024年に「Dependable Developer（信頼できる開発者）」認定試験を提供する際、ISO/IEC 5055の重要なコードとアーキテクチャの弱点に関する知識について認定を受けることを検討 次のレポートは暫定的に2024年に予