編集部からのお知らせ
新着特集PDF「IOWN構想のNTT」
おすすめ記事まとめ「ランサムウェア」

Linuxの脆弱性修正はどのベンダーよりも早かった--グーグルのProject Zeroが発表

Steven J. Vaughan-Nichols (Special to ZDNet.com) 翻訳校正: 編集部

2022-02-21 11:48

 GoogleのセキュリティチームであるProject Zeroが発表したレポートで、Linuxの開発者が、Googleを含む他のどのベンダーも早くセキュリティバグを修正していたことが分かった。

 レポートでは、2019年1月から2021年12月の間に報告された修正済みのバグについての数字を取り上げている。Project Zeroによれば、Linuxの脆弱性はわずか平均25日で修正されていた。それに加え、Linuxの開発者は、セキュリティホールの修正にかかる時間も大幅に短縮しており、2019年には平均32日かかっていたのに対して、2021年には15日にまで改善された。

 この結果は、競合する他のベンダーよりもはるかに優れたものだ。例えば、Appleが修正に要した平均日数は69日で、Googleは44日、Mozillaは46日だった。一方、特に成績が悪かったのは、Microsoftの83日と、(脆弱性の件数は少なかったものの)Oracleの109日だった。また、主にApache、Canonical、Github、Kubernetesなどのオープンソースソフトウェアを扱う組織や企業から構成されている「その他の組織」は、44日という優れた成績を挙げていた。

 全般的に言って、あらゆる組織で脆弱性の修正にかかる時間が短縮されている。2021年には、報告された脆弱性の修正に要した時間は、平均で52日だった。しかしたった3年前には、修正には平均80日もかかっていた。レポートでは、特にMicrosoft、Apple、Linuxが過去2年間で修正にかかった日数を大幅に短縮したと指摘している。

 Project Zeroは、発見した脆弱性についての情報をベンダーに報告してから、90日後に情報を開示する方針を取っている。

 2021年は、14%の脆弱性で2週間の期限延長が必要だったものの、期限までに修正されなかった脆弱性は「Google Android」の1件だけだった。あらゆる組織が、この数年で脆弱性の修正に関する成績を大きく向上させている。

 これはなぜだろうか。Project Zeroの研究者は、「責任ある情報開示の方針が業界のデファクトスタンダードとなったことで、ベンダーが期限の異なる報告に迅速に対応できるようになった」からではないかと考えている。また各企業は、透明性が高まったことで、お互いのベストプラクティスを学ぶようになった。筆者は、これにはオープンソースの開発手法が広まったことが大きな影響を与えていると考えている。力を合わせてバグを修正することが、全員のためになると理解されるようになってきたのではないだろうか。

この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]