「OSSの脆弱性にはパッチ適用を」が通用しない理由4万1989のオープンソースコンポーネントを分析

Lineaje Data Labsは、Apache Software Foundationのプロジェクトに組み込まれている41,989のオープンソースコンポーネントを分析した調査レポートを発表した。

» 2023年05月02日 08時00分 公開
[@IT]

この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。

 セキュリティマネジメントを提供するLineaje Data Labsは、2023年4月17日(米国時間)、Apache Software Foundationの上位44の人気プロジェクトに組み込まれている4万1989のオープンソースコンポーネントを、過去3バージョンにわたり分析した調査レポートを発表した。

 コンポーネントを分析したところ、82%は脆弱(せいじゃく)性やセキュリティ問題、コード品質または保守性の懸念によって本質的にリスクを抱えていることが分かった。

OSSのリスク

 Lineaje Data Labsが実施した調査によって、オープンソースソフトウェア(OSS)のリスクに関して追加で以下のことが明らかとなった。

固有リスクが極めて高い

 82%のコンポーネントが脆弱性やセキュリティ問題、コード品質または保守性の懸念によって本質的にリスクを抱えている

ソフトウェアの人気と品質は比例しない

 例えば、Apache Software Foundationの「Apache ECharts」は最も人気のあるパッケージである一方で、最もリスクの高いパッケージの1つである

脆弱性のパッチ適用という幻想

 脆弱性の64.2%は修正プログラムがまだ提供されておらず、パッチ適用ができないことが判明した。また、依存関係が深いため、全脆弱性の25.8%はOSS関連の組織ではパッチ適用が不可能であることも判明。事実上、完全なパッチ適用が達成されたとしても、組織の脆弱性には全体の約10%しか対処できないことになる。

 最も大きなリスクはパッチが適用されない脆弱性ではなく、修正プログラムが存在しないことだ。これらの脆弱性は他のパッチが適用されたとしても存在し続け、脅威となる。

OSSの分析結果

Copyright © ITmedia, Inc. All Rights Reserved.

スポンサーからのお知らせPR

注目のテーマ

AI for エンジニアリング
「サプライチェーン攻撃」対策
1P情シスのための脆弱性管理/対策の現実解
OSSのサプライチェーン管理、取るべきアクションとは
Microsoft & Windows最前線2024
システム開発ノウハウ 【発注ナビ】PR
あなたにおすすめの記事PR

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。