オープンソースソフトの脆弱性が増加、その理由や動向

Liam Tung (Special to ZDNET.com) 翻訳校正: 石橋啓一郎

2020-03-27 06:30

 オープンソースソフトウェアが採用されることが増え、危険なバグを発見しようとする取り組みが強化されたことで、オープンソースに発見された脆弱性の数は2019年、6100件になった。1年前の4100件と比較すると増加している。

 この数字を発表したのは、セキュリティ企業のWhiteSourceだ。同社のレポートによれば、2009年に報告されたオープンソースソフトウェアの脆弱性は1000件未満であり、劇的に増加していると言える。

 2014年に、広く利用されている「OpenSSL」に「Heartbleed」と呼ばれる脆弱性があることをGoogleセキュリティーチームの研究者が公表したことが、オープンソースのセキュリティの大きな転換点となった。

 この出来事はIT業界に衝撃を与え、インターネットにとっては必要不可欠であるにも関わらず、資金が不足しており、バグの発見や修正を行うだけのリソースがないオープンソースプロジェクトを何とかしようというアクションにつながった。

 この事件を受けて、The Linux Foundationの「Core Infrastructure Initiative」(CII)が設立された。この活動は、Amazon Web Services(AWS)、Google、IBM、Intel、Microsoft、Ciscoなどの企業からバックアップを受けている。

 WhiteSourceが公開した数字によれば、2015年と2016年は脆弱性の数が年間1500件以下だったが、2017年と2018年には年間4000件以上に膨れあがった。

発見された脆弱性の数の推移
オープンソースソフトウェアに発見された脆弱性の数は、2019年に大きく跳ね上がった。
提供:WhiteSource

 新たに見つかったバグの多くは、Googleが作ったオープンソースソフトウェアの自動ファズテストツールである「OSS-Fuzz」などによって発見されている。OSS-Fuzzは2018年までの2年間で9000件以上の脆弱性を開発者に報告している。このソフトウェアは、2020年1月時点までに、250のオープンソースプロジェクトで1万6000件の脆弱性を発見した

 WhiteSourceによれば、オープンソースに存在した脆弱性のうち85%は、情報が開示されており、パッチも提供されている。ただし、パッチの存在を知らないユーザーも一部にいる。これは、既知のオープンソースの脆弱性のうち、National Vulnerability Database(NVD)で公開されるのは84%にすぎないためだ。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]