危険なオープンソースのバグは、ほとんどの商用アプリケーションで潜んでいる

同レポートによれば、商用アプリケーションの67%に脆弱なオープンソースコンポーネントが含まれていることが分かりました。

セキュリティー企業は、商用アプリケーションに隠された脆弱なオープンソースのコンポーネントを見ていると警告しています。

オープンソースのコンポーネントのセキュリティは、企業がオープンソースのセキュリティ作業に基づいて、新しいレポートで主張している、非常に古いバグの数十件に晒されている盲点だ。

IBMは最近、IBM Security AppScanが使用している潜在的に脆弱なオープンソース・コンポーネントをスキャンしてマップするため、Black Duck Softwareをタップした。

オープンソースのセキュリティ

Linux Foundationがオープンソースのセキュリティを強化するためのバッジプログラムを開始する、2つの非常に危険なOpenSSLのセキュリティバグが修正されたLinuxの創設者TorvaldsがInternet of Things:Securityが第2のフィドル

あなたのアイデンティティとオンライン活動を保護するためだけに、多数のフリーおよびオープンソースプロジェクトが存在します。ここでは、新年をより安全にするためのいくつかの例を示します。

このレポートには、3月から6月の間​​に顧客向けに検討した200の商用アプリケーションのレビューがまとめられています。

このレポートは、多くの企業がどのオープンソースコンポーネントが存在しているかを発見する際の課題を強調しています。同社は、平均的な商用アプリケーションが100を超えるオープンソースコンポーネントで構成されていることを発見しました。しかし、監査の開始時に顧客はこれらの約半分しか認識していません。

この可視性の欠如はパッチ適用に影響を及ぼし、長いバグがシステムに残っている可能性を高めます。

実際、商用アプリケーションの67%には脆弱なオープンソースコンポーネントが含まれており、各アプリケーションには平均して複数の個別の脆弱性を含む5つの脆弱なコンポーネントがあることがわかりました。同社の数値によると、各アプリケーションには、異なるコンポーネント間で22.5の個別の脆弱性が存在します。

発見の問題は発見したバグの時代にも明らかであり、スキャンした時点で平均して5年以上経過しています。

米連邦捜査局(FBI)はCrackasのメンバーを逮捕し、米国政府の役人をハッキングした姿勢を示している;セキュリティ、Wordpressはユーザーに重大なセキュリティホールを修正するように今更新するよう強く促す;セキュリティ、ホワイトハウスは連邦最高情報セキュリティ責任者政府の監視による緊急対応

「これは、コンポーネントが存在していなかったか、または脆弱性情報の公開リソースをチェックしていなかったために、組織が脆弱性について知らなかったことを示している」と報告書は指摘する。

高プロファイルのバグであっても、その亀裂が伝わってきます。 Black Duck Softwareは、アプリケーションの10%がHeartsed OpenSSLのバグに対して脆弱であり、ほぼ10%がPoodleのバグにさらされており、TLSの実装に影響を与えているとしています。

最後に、スキャンで検出された脆弱性の約40%がCommon Vulnerability Scoring Systemの基本スコアが7以上であることがわかりました。

Black Duck Softwareの製品戦略VP Mike Pittengerは、この問題はオープンソースの使用ではなく、その使用における可視性の欠如と新しい脆弱性に対する認識の欠如と述べています。

FBIは、米国の政府関係者をハッキングしたとの態度で、Crackasのメンバーを逮捕した

WordPressは、重要なセキュリティホールを修正するために今アップデートするようユーザに促す

ホワイトハウス、連邦最高情報セキュリティ責任者を任命

国防総省のサイバー緊急対応を批判したペンタゴン