オープンソースの多くで脆弱性を検出、さらに新たな問題が発覚セキュリティ以外のリスク

Black Duck Softwareがオープンソースのアプリケーションを分析した結果、その多くでセキュリティ上の欠陥を内包していることが明らかになった。しかし、判明したリスクはセキュリティ面だけではなかった。

2017年06月08日 08時00分 公開
[Cliff SaranComputer Weekly]

 Black Duck Softwareの「Center for Open Source Research & Innovation」(COSRI)は、2016年に監査対象になった1071のアプリケーションの分析を行った。

 この監査では、全業種のアプリケーションの96%がオープンソースを採用し、その大部分に脆弱(ぜいじゃく)性が含まれていると報告されている。

 全体としては、監査対象アプリケーションの60%にリスクの高い脆弱性が含まれていたという。リスクの高い脆弱性を含むアプリケーションの割合が最も高かったのは小売りとEコマース業界で、監査対象アプリケーションの83%に含まれていた。

 COSRIのセキュリティ調査機関であるBlack DuckのOpen Source Security Research Groupの責任者クリス・フィアロン氏は、次のように語った。

 「COSRIの分析結果は、あらゆる業界の組織がオープンソースを効果的に管理できる状態に至っていないことを明確に示している」

 Black Duckによると、「Linux」「PHP」「Ruby on Rails」「Microsoft .NET」はどのバージョンにもリスクの高い脆弱性が含まれているという。

 「Cloud Native Computing Foundation」の最近のプレゼンテーションで、オープンソースと商用ソフトウェアの安全性が比較され、多くの脆弱性が共通することが注目された。例えば、「Heartbleed」の原因となったのは「OpenSSL」のバッファーオーバーフローだ。「Shellshock」は、UNIXのシェルの1つであるbash(Bourne Again Shell)のセキュリティの欠陥だった。この特定の欠陥は、1991年にLinuxの作成者リーナス・トーバルズ氏が使ったオリジナルのコードに存在していた。これが、なぜもっと早く見つかって修正されなかったかという疑問は残る。

 自動更新をユーザーに「強要する」商用ソフトウェアとは異なり、オープンソースはユーザーが「自主的に」更新を行うサポートモデルになっている。つまり、ユーザーは、使用するオープンソースの修正や更新だけでなく、脆弱性の監視も担当することになる。

 Black DuckのCEOルー・シップリー氏は次のように話す。「オープンソース脆弱性のエクスプロイトはアプリケーションセキュリティ最大のリスクになり、大半の企業が直面することになる」

 監査対象のアプリケーションでは、オープンソースライセンスの競合も広い範囲で見つかっている。




続きを読むには、[続きを読む]ボタンを押して
会員登録あるいはログインしてください。






ITmedia マーケティング新着記事

news025.png

「マーケティングオートメーション」 国内売れ筋TOP10(2024年3月)
今週は、マーケティングオートメーション(MA)ツールの売れ筋TOP10を紹介します。

news175.png

AI同士が議論して商品開発のアイデア出し 博報堂が「マルチエージェント ブレストAI」の業務活用を開始
専門知識を持ったAI同士が協調して意思決定と企画生成を行う仕組みを活用。最適な結論や...

news172.jpg

デジタルサイネージ一体型自動ドアによる広告配信サービス ナブテスコが提供
ナブテスコがデジタルサイネージ一体型自動ドアを広告メディアとして利用する新サービス...