2017年06月08日 08時00分 UPDATE
特集/連載

セキュリティ以外のリスクオープンソースの多くで脆弱性を検出、さらに新たな問題が発覚

Black Duck Softwareがオープンソースのアプリケーションを分析した結果、その多くでセキュリティ上の欠陥を内包していることが明らかになった。しかし、判明したリスクはセキュリティ面だけではなかった。

[Cliff Saran,Computer Weekly]
Computer Weekly

 Black Duck Softwareの「Center for Open Source Research & Innovation」(COSRI)は、2016年に監査対象になった1071のアプリケーションの分析を行った。

Computer Weekly日本語版 6月7日号無料ダウンロード

本記事は、プレミアムコンテンツ「Computer Weekly日本語版 6月7日号」(PDF)掲載記事の抄訳版です。本記事の全文は、同プレミアムコンテンツで読むことができます。

なお、同コンテンツのEPUB版およびKindle(MOBI)版も提供しています。

ボタンボタン

 この監査では、全業種のアプリケーションの96%がオープンソースを採用し、その大部分に脆弱(ぜいじゃく)性が含まれていると報告されている。

 全体としては、監査対象アプリケーションの60%にリスクの高い脆弱性が含まれていたという。リスクの高い脆弱性を含むアプリケーションの割合が最も高かったのは小売りとEコマース業界で、監査対象アプリケーションの83%に含まれていた。

 COSRIのセキュリティ調査機関であるBlack DuckのOpen Source Security Research Groupの責任者クリス・フィアロン氏は、次のように語った。

 「COSRIの分析結果は、あらゆる業界の組織がオープンソースを効果的に管理できる状態に至っていないことを明確に示している」

 Black Duckによると、「Linux」「PHP」「Ruby on Rails」「Microsoft .NET」はどのバージョンにもリスクの高い脆弱性が含まれているという。

 「Cloud Native Computing Foundation」の最近のプレゼンテーションで、オープンソースと商用ソフトウェアの安全性が比較され、多くの脆弱性が共通することが注目された。例えば、「Heartbleed」の原因となったのは「OpenSSL」のバッファーオーバーフローだ。「Shellshock」は、UNIXのシェルの1つであるbash(Bourne Again Shell)のセキュリティの欠陥だった。この特定の欠陥は、1991年にLinuxの作成者リーナス・トーバルズ氏が使ったオリジナルのコードに存在していた。これが、なぜもっと早く見つかって修正されなかったかという疑問は残る。

 自動更新をユーザーに「強要する」商用ソフトウェアとは異なり、オープンソースはユーザーが「自主的に」更新を行うサポートモデルになっている。つまり、ユーザーは、使用するオープンソースの修正や更新だけでなく、脆弱性の監視も担当することになる。

 Black DuckのCEOルー・シップリー氏は次のように話す。「オープンソース脆弱性のエクスプロイトはアプリケーションセキュリティ最大のリスクになり、大半の企業が直面することになる」

 監査対象のアプリケーションでは、オープンソースライセンスの競合も広い範囲で見つかっている。

この記事を読んだ人にお薦めのホワイトペーパー

この記事を読んだ人にお薦めの関連記事

Loading

注目テーマ

ITmedia マーケティング新着記事

news038.jpg

横浜DeNAベイスターズが5年間で来場者数を76%増やすためにやったこと
ホームゲームの観客動員数が急伸する横浜DeNAベイスターズ。長年の人気低迷期を乗り越え...

news087.jpg

Webと店頭サイネージを連動する動画広告、マイクロアドデジタルサイネージとCyberBullが提供
マイクロアドデジタルサイネージはCyberBullと共同で、小売店の店頭サイネージと連動する...

news043.jpg

無料DMP「Juicer」とマーケティングプラットフォーム「HIRAMEKI」が連携
トライベック・ストラテジーは、マーケティングプラットフォーム「HIRAMEKI management」...