最も脆弱性が多い言語は？　OSSの脆弱性は増大傾向：脆弱性最少言語はPython

WhiteSource Softwareがオープンソースコードのセキュリティ状況を調査し、レポートを公開した。脆弱性は前年比50％増と増大傾向にあるという。プログラミング言語別の脆弱性の状況も明らかになった。

≫ 2020年05月07日 08時00分公開

[Cliff Saran，Computer Weekly]

　プラットフォームプロバイダーWhiteSource Softwareの調査によると、2019年に報告されたオープンソースコードの脆弱（ぜいじゃく）性は前年比50％増だという。

　同社が公開した「State of Open Source Security Vulnerabilities」（オープンソースセキュリティの脆弱性の状況）レポートによると、2019年に報告された脆弱性の55％以上が深刻度「重要」（High）または「緊急」（Critical）に分類された。WhiteSourceはこの状況を、ITチームが脆弱性に対処する順序を決める能力に悪影響が出ると見ている。

　この調査は、2019年に見つかったオープンソースソフトウェアの脆弱性が6000件を超えたことを明らかにしている。レポートの基になったのはWhiteSourceのデータベースだ。このデータベースにはUS National Vulnerabilities Database（NVD）の脆弱性レポート、セキュリティアドバイザリ、個人が確認した脆弱性のデータベース、オープンソースバグトラッカーなどに報告された脆弱性がまとめられている。

　報告されたオープンソースコードの脆弱性の45％は発見当初NVDに報告されず、他のリソースで取り上げられた数カ月後にNVDのデータベースで公開されたとWhiteSourceは警告する。

　同調査によると、NVD以外で報告されたオープンソースコードの脆弱性のうち、NVDでも公開されているのは29％にすぎないという。NVDで公開されるのは既知の脆弱性の84％でしかない。脆弱性に関する情報は1カ所にまとまっておらず、何百ものリソースに分散している。インデックスも不十分な場合があり、特定のデータの検索は難しくなることが多い。WhiteSourceはレポートで次のように警告している。「コミュニティーの努力によって、ユーザーが必ずしも恩恵を受けられるわけではない」

最も安全なプログラミング方法

　調査では、オープンソースプロジェクトの中でも最も人気の高いプログラミング言語であるC言語に含まれる脆弱性が最多であることも分かった。報告された脆弱性の言語別割合を見ると、C言語のオープンソースプロジェクトは2018年に30％だったのに対し、2019年は47％に増加している。オープンソース開発で使われる上位7つの言語のうち、脆弱性の割合が最も低かったのはPythonだ。脆弱性が報告されたPythonベースのオープンソースプロジェクトは6％だった。

　レポートで、WhiteSourceは次のように分析している。「C言語で作成されたコード量が非常に多いため、C言語の割合が最も大きいのは変わらない。とはいえ他の言語の人気も高まっているため、その割合は減少傾向にある」

　PHPは相対的な脆弱性の割合が2018年の15％から2019年の27％へと大幅に増加している。PHPの人気が高まったことを示す証拠がないにもかかわらずだ。

　またJava、JavaScript、PHP、Pythonの脆弱性のトップ3は、CWE-79（クロスサイトスクリプティング）、CWE-20（不適切な入力検証）、CWE-200（情報漏えい）だった。

　2019年のリスクトップ10には、クロスサイトリクエストフォージェリ（CSRF）とSQLインジェクションもランクインしている。「オープンソースWebプロジェクトの量が増加したことが原因と考えられる。Webの脆弱性は増加傾向にある。コーディングの際はそれに留意すべきだ」とWhiteSourceは報告している。

　WhiteSourceはオープンソースプロジェクトのユーザーに対して、セキュリティのリスクを認識し、オープンソースコードの依存関係を最新状態に保つよう推奨する。

　「オープンソースコンポーネントは、ソフトウェアプロジェクトには不可欠な要素になっている。オープンソースの脆弱性を巡る状況は、最初は複雑で厄介に見えるかもしれないが、製品を構成するオープンソースコンポーネントを把握して制御する方法はある」（WhiteSource談）

TechTargetジャパントップセキュリティ