セキュリティ企業「RiskSense」は、オープンソースソフトウェアに潜む脆弱性を調査したレポート“The Dark Reality of Open Source”を公表しております。
概要
調査は、「Jenkins」や「MongoDB」、「Elasticsearch」、「Chef」、「GitLab」、「Spark」、「Puppet」などの、ある程度知名度があるオープンソースソフトウェアを対象に実施されており、アメリカ国立標準技術研究所(NIST)内の脆弱性に関するデータベース“NVD(National Vulnerability Database)”の情報も参照されております。
調査状況と課題
これまでの調査により確認されている脆弱性は、2018年の421件から2019年の968件に増加しており、調査が開始された2015年から2020年3月までの累計では2,694件になるとのことです。
また、脆弱性が発覚した後NVDへの報告および登録までに1か月以上かかっているとの実態も発覚しており、例としてGitLabは76日、PostgreSQLは246日経過しているといった具合です。
こうした情報公開の遅延はサイバー攻撃の足掛かりとして利用され、ユーザー企業組織は攻撃被害に遭遇する危険にさらされることにつながるとのことです。
RiskSense社は、オープンソースソフトウェア普及に伴い新たな脆弱性が生まれている状況からも、業界全体での対策が重要になってきていると警鐘を鳴らしております。
| 【参考URL】 人気の高いオープンソースプロジェクトで脆弱性が増加–RiskSense調査 |