ベンダーの脆弱性修正、何日かかる？：修正に必要な時間が年ごとに減少

Googleの脆弱性調査専門チーム「Project Zero」は、セキュリティ脆弱性の修正状況について、ベンダーやプロジェクト別に調査した結果を発表した。2019～2021年の3年間にProject Zeroが開発元に報告した脆弱性が対象だ。

» 2022年02月16日 12時30分公開

[＠IT]

この記事は会員限定です。会員登録（無料）すると全てご覧いただけます。

　Googleの脆弱（ぜいじゃく）性調査専門チーム「Project Zero」は2022年2月10日（米国時間）、セキュリティ脆弱性が修正されるまでにかかった日数などの修正状況について、ベンダーやプロジェクト別に調査した結果を発表した。2019年1月～2021年12月の3年間に、Project Zeroが開発元に報告した脆弱性が対象だ。

　Project Zeroは脆弱性を報告する際、脆弱性開示ポリシーに従っている。開発元に連絡してから90日間の開示期限と14日間の猶予期間を設定した。調査結果には、この開示期限への対応と、猶予期間を使った修正の状況も記されている。

　脆弱性の詳細をProject Zeroが公開するルールは、次のように定められている。

開示期間中に修正版が提供された場合
　Project Zeroが開発元に脆弱性を報告してから、90日間の開示期限が切れる前に修正プログラムがユーザーに提供された場合、Project Zeroは、修正プログラムの提供開始から30日後に、脆弱性の詳細を公開する。

開示期間中に修正版が提供されなかった場合
　90日間の期限前に修正プログラムが提供されなかった場合、Project Zeroは期限完了時に脆弱性の詳細を公開する。

修正版のリリースを開発元が確約した場合
　開発元が開示期限から14日以内での修正プログラムのリリースを確約した場合、Project Zeroは14日間の猶予期間を認める。

脆弱性を修正するためにどれほど時間がかかるのか

　脆弱性の修正状況や分布、修正に必要な時間について、報告書は次のようにまとめている。

　2019～2021年の3年間に、Project Zeroは90日間の開示期限に従い、376件の脆弱性を開発元に報告した。このうち351件（93.4％）は修正されたが、14件（3.7％）はベンダーなどが修正しないことを決めた。その他、11件（2.9％）の脆弱性が未修正となっている（調査結果の発表時点で8件は開示期限を過ぎており、残りの3件は開示期限内）。

　376件の脆弱性のかなりの部分はベンダー数社に集中している。96件（26％）がMicrosoft、85件（23％）がApple、60件（16％）がGoogleに報告された脆弱性だ。

#CmsMembersControl .CmsMembersControlIn {width:100%;background:url(https://image.itmedia.co.jp/images/spacer.gif) #DDD;opacity:0.05;filter:progid:DXImageTransform.Microsoft.Alpha(Enabled=1,Style=0,Opacity=5);z-index:1;}

続きを閲覧するには、ブラウザの JavaScript の設定を有効にする必要があります。

脆弱性を探し出す7つの主要コード検査ツールとは
Comparitech.comは公式ブログで、コード検査ツールに求められる機能を解説し、それらの機能をほぼカバーする主要な7製品を紹介した。いずれも幅広いプログラミング言語に対応し、部分的なコードであっても脆弱性を検知できるという。
OSSのサプライチェーン、脆弱性に課題あり
オープンソースソフトウェアは供給、需要のどちらも大幅な伸びを見せている。しかし脆弱性の管理に弱点がある。ソフトウェアサプライチェーン管理プラットフォームを手掛けるSonatypeが発表した年次調査の報告書によれば、人気の高いプロジェクトでより多くの脆弱性が見つかっている。
Google、OSSパッケージの依存関係を可視化した実験的サービスを発表
Googleはオープンソースプロジェクトの依存関係などを可視化した実験的サービス「Open Source Insights」を提供開始した。「変更のペースが速く、ついていくのが難しい場合がある」「大きなプロジェクトが依存するソフトウェアパッケージが頻繁にアップデートされ、明確な現状把握ができない場合がある」といったOSSの課題を解消するのが目的だ。