Research reveals where 95% of open source vulnerabilities lie
2022/12/09 HelpNetSecurity — Endor Labs の最新レポートが示すのは、アプリケーション開発における既存オープンソース・ソフトウェアの多用と、未成熟な監視の体制と、一般的な慣行から生じる危険性についての見解である。一例を挙げると、全脆弱性の 95%は過渡的依存関係 (開発者は選択していないが、間接的にプロジェクトに取り込まれるオープンソースのコードパッケージ) にあることが、この調査により判明している。
オープンソースの脆弱性
このレポートは、Endor Labs が推進し、世界中の研究者/学者/指導者などで構成される、Station 9 による第1回目のレポートである。
Endor Labs の CEO である Varun Badhwar は、「ベテランの開発者や経営者でさえ、最近のアプリケーションのコードの 80% が、既存の OSS に由来していることに驚くことがある。オープンソースは大規模な分野でありながら、これまで看過されてきた。オープンソース・コードの再利用が、その潜在能力を発揮するためには、セキュリティを最優先事項にする必要がある」と述べている。
問題になるのは、既存のオープンソース・コードを新しいアプリケーションで広く使用することではなく、これらのソフトウェアの依存関係のうち、開発者が意図的に選択するものが、ごく一部に過ぎないということだ。
残りの部分は推移的かつ自動的に、コードベースに取り込まれる間接的な関係に依存している。そのため、潜在的な脆弱性と特定可能な脆弱性が、セキュリティと開発の両分野に等しく影響を及ぼすことになる。
レポートの主な調査結果
その他の調査結果は下記の通り:
- 全脆弱性の大部分 (95%) は、実際に推移的な依存関係において発見されており、これらの問題の真の影響や到達可能性を、開発者が評価することは非常に困難である。
- クリティカルなプロジェクトを特定するための、コミュニティによる2つの最も一般的な取り組みである ensus II/OpenSSF Criticality Scores を比較すると、クリティカルの判断が単純ではないことが分かる。実際、Census II の 75% のパッケージのクリティカリティ・スコアは 0.64 未満であり、どのオープンソース・プロジェクトがクリティカルであるかを、組織は自身で判断しなければならない。
- 最近のサプライチェーン攻撃において、依存関係の混乱は、攻撃者にとって大きなメリットになっている。その一方で、広く利用されているリスク指標では、これらの攻撃を検知することはできない。
- 前途多難:最も広く利用されている国勢調査Ⅱパッケージだが、2022年にリリースされたパートは 50% のものである。また、30%のパートは、リリースが 2018年以前である。これらは将来、深刻なセキュリティと運用の問題を引き起こす可能性がある。
- 新しい=安全ではない:パッケージを最新バージョンにアップグレードしても、依存関係には 32%の確率で既知の脆弱性が存在する。
- 優先順位をつける際には、到達可能性が最も重要な基準となる。CVSS スコアなどのセキュリティ指標だけで優先順位付けをしたり、テスト依存の脆弱性を無視しても、この種の脆弱性の可能性は 20%しか下がらない。
Endor Labs の The State of Dependency Management レポートをベースにした記事です。2022年は OSS リポジトリを介した、サプライチェーン攻撃が注目を浴びた年でもありました。文中にもあるように、仮に問題が特定できたとしても、すべてに対応していくには、膨大なリソースが必要になります。また、対策が完了しても、アプリのアップデートなどで、問題が再発する可能性も否定できません。同じく、12月9日の「OSS リポジトリを悪用するサプライチェーン攻撃が増加中:ReversingLabs レポート」でも、この問題が解説されています。よろしければ、Repository で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.