OSSが抱えるリスクトップ10　OWASPが発表：「既知の脆弱性」「正規パッケージの侵害」など

非営利団体のOWASPは、OSSが抱えるリスクトップ10をまとめた文書「Top 10 Open Source Software Risks」を公開した。

» 2024年05月16日 10時00分公開

[＠IT]

この記事は会員限定です。会員登録（無料）すると全てご覧いただけます。

　Webアプリケーションセキュリティなどの改善活動を推進する非営利団体「The Open Web Application Security Project」（OWASP）は、オープンソースソフトウェア（OSS）が抱えるリスクトップ10をまとめた「Top 10 Open Source Software Risks」のバージョンv0.1を発表した。

　OWASPは「ソフトウェアサプライチェーンにおいてOSSへの依存度が高いにもかかわらず、OSSのリスクを理解し測定する方法が不足している。OSSにおけるリスク管理は、ライセンス管理から始まり、CVE（共通脆弱〈ぜいじゃく〉性識別子）へと発展してきたが、セキュリティ、法律、運用を包含する全体的なアプローチは不十分だ。この文書は、運用およびセキュリティ上のトップリスクを見つけることを目指すものだ」と述べている。

　OWASPが明らかにした、OSSが抱えるリスクトップ10は次の通り。

OSSが抱えるリスクトップ10

（1）既知の脆弱性

#CmsMembersControl .CmsMembersControlIn {width:100%;background:url(https://image.itmedia.co.jp/images/spacer.gif) #DDD;opacity:0.05;filter:progid:DXImageTransform.Microsoft.Alpha(Enabled=1,Style=0,Opacity=5);z-index:1;}

続きを閲覧するには、ブラウザの JavaScript の設定を有効にする必要があります。

企業が注意すべき、オープンソース活用に共通する6つの注意点とは
オープンソースは、利用する企業に相応のメリットをもたらす。とはいえ、オープンソースを利用する過程で開発チームが直面する無視できない注意点もある。
「2024 State of Open Source Report」でOSSの最新利用動向が明らかに　最も投資されているOSS分野は？
Open Source Initiative（OSI）は、世界の企業や組織におけるオープンソースソフトウェアの利用状況とサポートに関する調査結果をまとめたレポート「2024 State of Open Source Report」の公開を発表した。
Windows OSのシステム管理者も無関係じゃない、これから始めるSBOM
使用していたオープンソースのソフトウェアに使われていたライブラリに脆弱性があったことに気付かないでいたことで、攻撃を受けてしまったという事例が発生しています。これはLinuxだけでなく、Windows OSでも起こり得る事態です。こうしたリスクを軽減する方策として、SBOMと呼ばれるOSSのサプライチェーン管理の手法があります。今回はSBOMとはどういったものなのかについて解説します。