79% of Third-Party Libraries in Apps Are Never Updated
2021/06/24 DarkReading — ソフトウェア開発者は、サードパーティ・ライブラリをコードベースに組み込んだ後に、そのライブラリをアップデートしないことが、大半であることが分かった。Veracode は、301,000 以上のソフトウェア・ライブラリを含む、約86,000の顧客リポジトリを対象に、1,300万回のスキャンを行った結果を分析した。
また、Veracode は、約2,000人の開発者を対象に、サードパーティ・ソフトウェアの使用状況を調査した。その結果として、コードベース内で使用しているサードパーティ・ライブラリを、79% の開発者が更新していないことが分かった。サードパーティのライブラリは常に変化しており、何が安全かという基準も急速に変化しているにもかかわらず、ほとんどの開発者が更新していない。
Veracode の調査によると、活発にメンテナンスされている成熟したリポジトリであっても、サードパーティ・ライブラリが更新されていないケースが 73% もあった (全リポジトリの79%)。全体では、更新に21ヶ月以上かかっているライブラリが 50% であり、4年間も更新されていないものが 25% だった。興味深いことに、開発者がサードパーティ・ライブラリを更新する場合には、その対応は驚くほど迅速だ。たとえば、修正された脆弱性のうち 17% が1時間以内に、25%が1週間以内に修正されている。
この記事は、ほぼ全ての最新エンタープライズ・アプリケーションには、程度の差こそあれ、脆弱なサードパーティ・コードやオープンソース・コードが含まれていると、指摘しています。先日に Synopsys が行った調査では、最新エンタープライズ・アプリケーションには、平均して528 ものオープンソース・コンポーネントが含まれていることが分かりました。また、コードベースごとに、平均で 158件の脆弱性が発見されており、その多くが深刻なものでした。
このように、アプリケーションに含まれるサードパーティ・ライブラリが最新の状態に保たれていない場合、エンタープライズが深刻な事態に陥る可能性があります。たとえば、セキュリティ侵害のリスクが高まり、パッチの適用も複雑になってきます。Veracode の Chief Research Officer である Chris Eng は、「サードパーティ・ライブラリにおける脆弱性の修正が遅れれば遅れるほど、修正が複雑になり、パッチの適用に時間がかかり、また、何かを壊してしまうリスクが大きくなる」と述べています。
IoT OT Security News 