「OSSの脆弱性にはパッチ適用を」が通用しない理由：4万1989のオープンソースコンポーネントを分析

Lineaje Data Labsは、Apache Software Foundationのプロジェクトに組み込まれている41,989のオープンソースコンポーネントを分析した調査レポートを発表した。

[＠IT]

　セキュリティマネジメントを提供するLineaje Data Labsは、2023年4月17日（米国時間）、Apache Software Foundationの上位44の人気プロジェクトに組み込まれている4万1989のオープンソースコンポーネントを、過去3バージョンにわたり分析した調査レポートを発表した。

　コンポーネントを分析したところ、82％は脆弱（せいじゃく）性やセキュリティ問題、コード品質または保守性の懸念によって本質的にリスクを抱えていることが分かった。

OSSのリスク

　Lineaje Data Labsが実施した調査によって、オープンソースソフトウェア（OSS）のリスクに関して追加で以下のことが明らかとなった。

固有リスクが極めて高い

　82％のコンポーネントが脆弱性やセキュリティ問題、コード品質または保守性の懸念によって本質的にリスクを抱えている

ソフトウェアの人気と品質は比例しない

　例えば、Apache Software Foundationの「Apache ECharts」は最も人気のあるパッケージである一方で、最もリスクの高いパッケージの1つである

脆弱性のパッチ適用という幻想

　脆弱性の64.2％は修正プログラムがまだ提供されておらず、パッチ適用ができないことが判明した。また、依存関係が深いため、全脆弱性の25.8％はOSS関連の組織ではパッチ適用が不可能であることも判明。事実上、完全なパッチ適用が達成されたとしても、組織の脆弱性には全体の約10％しか対処できないことになる。

　最も大きなリスクはパッチが適用されない脆弱性ではなく、修正プログラムが存在しないことだ。これらの脆弱性は他のパッチが適用されたとしても存在し続け、脅威となる。

OSSの分析結果

　ソフトウェアのサプライチェーンの改ざんを検出する能力は、ソフトウェアの完全性に直結する。同社が分析した数万件のオープンソースプロジェクトの結果は以下の通り。

未知のコンポーネント

　評価されたソフトウェアの大半は、高い整合性を持ち認証可能なコンポーネントを持っていたが、今回の調査では、全体の約3％のコンポーネントの出どころが不明であることが分かった。これらのコンポーネントは、Apache Software Foundationのソフトウェアに深く組み込まれているが、その発端や更新方法は不透明である。

起源の怪しいコンポーネント

　5.3％のコンポーネントは、開発者が公開したパッケージが、関連すると主張するソースコードと一致するかという基本的な完全性チェックに失敗した。同社は「このような完全性チェックが行われれば、『3CX』や『SolarWinds』の侵害も発見できたはずである」と指摘している。

　同社の最高経営責任者（Chief Executive Officer）兼共同設立者であるジャヴェド・ハッサン氏はOSSの分析結果について次のように述べている。「OSSにはリスクがあり、たとえ非常に人気のあるソフトウェアであっても、確立したブランドが提供しているものであっても、改ざん可能であるということを企業は理解することが不可欠である」

OSSの課題

　ジャヴェド氏はOSSの課題について以下のように語った。「開発者は、自分が組み込んだソフトウェアコンポーネントの内部を透視できる能力を持っておらず、オープンソースの選定者の多くはセキュリティの専門家ではない。私たちは、ソフトウェアサプライチェーン管理ツールを使って、シフトレフトで作られるこれらのソフトウェアコンポーネントの動的かつ固有のリスクや完全性を継続的に評価しなければならない」