IT製品導入に関する技術資料を多数掲載 ホワイトペーパーダウンロードセンター
開発のOSS利用における脆弱性リスクの可視化と管理、13万種のソフトの解析結果
OSS利用は開発の効率、コスト等からもはや必須。しかし危険な脆弱性などリスク軽減が課題。ソフトに含まれるOSSコンポーネントとそのバージョン、脆弱性などを解析するSCAによる13万種のソフトの解析結果まとめとリスク低減方法を解説。
コンテンツ情報
| 公開日 | 2018/05/08 | フォーマット | 種類 | 技術文書・技術解説 |
|
|---|---|---|---|---|---|
| ページ数・視聴時間 | 26ページ | ファイルサイズ | 1.28MB | ||
要約
アプリケーションの多くがサードパーティーのコードで作られるようになった。特にOSS(オープン・ソース・ソフトウェア)の活用とその効果は誰もが実感しているだろう。一方でHeartbleedやPOODLEなどの対応も記憶に新しい。
そんな中、アプリケーションがどのようなコンポーネントやライブラリ、バージョンで構成され、どのような既知の脆弱(ぜいじゃく)性を持っているかを診断する「ソフトウェア・コンポジション解析(SCA)」が注目されている。
本資料は、13万近いアプリケーションのSCAを行った結果をまとめたレポートだ。コンポーネントの50%近くがリリース後4年以上経過し、確認された共通脆弱性識別子(CVE)の総数は9500以上、その45%は2013年以前のものだった。時間の経過とともにアプリケーション内に新たな脆弱性がだんだんと発見され、“劣化”していく様子を確認できる。また、CVEのリスクの度合いにも触れ、緊急度の高い脆弱性の点在の様子を紹介する。
そのうえで、リリース前後や開発中にリスクを軽減させるためにSCAがどう役立つかを提言する。OSS利用のメリットを最大限享受するためにも、ぜひ一読してほしい。
そんな中、アプリケーションがどのようなコンポーネントやライブラリ、バージョンで構成され、どのような既知の脆弱(ぜいじゃく)性を持っているかを診断する「ソフトウェア・コンポジション解析(SCA)」が注目されている。
本資料は、13万近いアプリケーションのSCAを行った結果をまとめたレポートだ。コンポーネントの50%近くがリリース後4年以上経過し、確認された共通脆弱性識別子(CVE)の総数は9500以上、その45%は2013年以前のものだった。時間の経過とともにアプリケーション内に新たな脆弱性がだんだんと発見され、“劣化”していく様子を確認できる。また、CVEのリスクの度合いにも触れ、緊急度の高い脆弱性の点在の様子を紹介する。
そのうえで、リリース前後や開発中にリスクを軽減させるためにSCAがどう役立つかを提言する。OSS利用のメリットを最大限享受するためにも、ぜひ一読してほしい。