検索
ニュース

「OSSの脆弱性にはパッチ適用を」が通用しない理由4万1989のオープンソースコンポーネントを分析

Lineaje Data Labsは、Apache Software Foundationのプロジェクトに組み込まれている41,989のオープンソースコンポーネントを分析した調査レポートを発表した。

Share
Tweet
LINE
Hatena

 セキュリティマネジメントを提供するLineaje Data Labsは、2023年4月17日(米国時間)、Apache Software Foundationの上位44の人気プロジェクトに組み込まれている4万1989のオープンソースコンポーネントを、過去3バージョンにわたり分析した調査レポートを発表した。

 コンポーネントを分析したところ、82%は脆弱(せいじゃく)性やセキュリティ問題、コード品質または保守性の懸念によって本質的にリスクを抱えていることが分かった。

OSSのリスク

 Lineaje Data Labsが実施した調査によって、オープンソースソフトウェア(OSS)のリスクに関して追加で以下のことが明らかとなった。

固有リスクが極めて高い

 82%のコンポーネントが脆弱性やセキュリティ問題、コード品質または保守性の懸念によって本質的にリスクを抱えている

ソフトウェアの人気と品質は比例しない

 例えば、Apache Software Foundationの「Apache ECharts」は最も人気のあるパッケージである一方で、最もリスクの高いパッケージの1つである

脆弱性のパッチ適用という幻想

 脆弱性の64.2%は修正プログラムがまだ提供されておらず、パッチ適用ができないことが判明した。また、依存関係が深いため、全脆弱性の25.8%はOSS関連の組織ではパッチ適用が不可能であることも判明。事実上、完全なパッチ適用が達成されたとしても、組織の脆弱性には全体の約10%しか対処できないことになる。

 最も大きなリスクはパッチが適用されない脆弱性ではなく、修正プログラムが存在しないことだ。これらの脆弱性は他のパッチが適用されたとしても存在し続け、脅威となる。

OSSの分析結果

 ソフトウェアのサプライチェーンの改ざんを検出する能力は、ソフトウェアの完全性に直結する。同社が分析した数万件のオープンソースプロジェクトの結果は以下の通り。

未知のコンポーネント

 評価されたソフトウェアの大半は、高い整合性を持ち認証可能なコンポーネントを持っていたが、今回の調査では、全体の約3%のコンポーネントの出どころが不明であることが分かった。これらのコンポーネントは、Apache Software Foundationのソフトウェアに深く組み込まれているが、その発端や更新方法は不透明である。

起源の怪しいコンポーネント

 5.3%のコンポーネントは、開発者が公開したパッケージが、関連すると主張するソースコードと一致するかという基本的な完全性チェックに失敗した。同社は「このような完全性チェックが行われれば、『3CX』や『SolarWinds』の侵害も発見できたはずである」と指摘している。

 同社の最高経営責任者(Chief Executive Officer)兼共同設立者であるジャヴェド・ハッサン氏はOSSの分析結果について次のように述べている。「OSSにはリスクがあり、たとえ非常に人気のあるソフトウェアであっても、確立したブランドが提供しているものであっても、改ざん可能であるということを企業は理解することが不可欠である」

OSSの課題

 ジャヴェド氏はOSSの課題について以下のように語った。「開発者は、自分が組み込んだソフトウェアコンポーネントの内部を透視できる能力を持っておらず、オープンソースの選定者の多くはセキュリティの専門家ではない。私たちは、ソフトウェアサプライチェーン管理ツールを使って、シフトレフトで作られるこれらのソフトウェアコンポーネントの動的かつ固有のリスクや完全性を継続的に評価しなければならない」

Copyright © ITmedia, Inc. All Rights Reserved.

Security & Trust 記事ランキング

  1. 「Appleの暗号化アルゴリズム」を盗用し、2カ月以上検出されなかったステルス型マルウェアの正体とは
  2. 「SMSは認証に使わないで」 米CISA、モバイル通信を保護する8つのベストプラクティスを公開
  3. 2025年、LLMの脆弱性が明確になるなど、セキュリティとクラウドに関する8つの変化
  4. “ゼロトラスト”とトラスト(信頼性)ゼロを分かつものとは――情報セキュリティ啓発アニメ「こうしす!」監督が中小企業目線で語る
  5. 2025年に押さえるべきセキュリティの重要論点をガートナーが発表 新しいリスク、脅威、環境の変化、法規制などの動きを把握する指標に使える
  6. Google Cloud、2025年のサイバーセキュリティ予測を発表 AIがサイバー攻撃にもたらす影響とは?
  7. 終わらせましょう。複雑過ぎるKubernetes/クラウドネイティブが生む心理的安全性の低下を――無料でクラウドセキュリティの勘所が分かる130ページの電子書籍
  8. 経営層の約7割が「セキュリティ対策は十分」一方で6割以上がインシデントを経験、1位の要因は?
  9. よく聞く「複雑化するサイバー攻撃」は具体的にどう複雑なのか? 一例を医療系企業のランサム事例とともに解説
  10. ChatGPTやClaudeのAPIアクセスをかたってマルウェアを配布するPython用パッケージ確認 Kasperskyが注意喚起
ページトップに戻る