多くの企業アプリ、オープンソースに起因する脆弱性を放置 セキュリティ企業が警鐘
特に金融や小売り業界などのアプリで、高リスクの脆弱(ぜいじゃく)性が数多く修正されないまま放置されているとBlack Duckが警告した。
オープンソースソフトウェアのセキュリティ対策を手掛ける米Black Duckは4月19日、企業などのアプリに使われているオープンソースコードの脆弱(ぜいじゃく)性に関する報告書を発表した。特に金融や小売り業界などのアプリで、高リスクの脆弱性が修正されないまま放置されている現状に警鐘を鳴らしている。
Black Duckでは主に企業の合併や買収に関連したオープンソースコードの監査を行っており、2016年は1071件のアプリケーションについて監査を実施した。その結果、60%以上のアプリでオープンソースに起因する脆弱性が見つかったという。
特に金融業界のアプリでは、オープンソースの脆弱性がアプリあたりの平均で約52件発見され、全体の60%に高リスクの脆弱性が含まれていた。また、小売りや電子商取引業界のアプリの場合、83%で高リスクの脆弱性が見つかったとしている。
監査対象としたアプリケーションに含まれるオープンソースコンポーネントは平均で147件。ライセンスについて把握することも難しく、実際に85%のアプリでGPLライセンス違反などのライセンスに関する問題も発見された。
「オープンソースの脆弱性悪用は、ほとんどの企業にとって最大のアプリケーションセキュリティリスクになっている」とBlack Duckは指摘。「誰もが大量のオープンソースを使っているが、自分たちのアプリケーションに存在するオープンソースの脆弱性を適切に検出・修正・監視している企業はほとんど存在しない」と警告している。
関連記事
- 企業のオープンソース利用急増、16件中1件に脆弱性など危険増大
企業がダウンロードしているオープンソースコンポーネントの6.1%に既知の脆弱性があり、アプリケーションのコンポーネント分析でも6.8%に脆弱性が見つかった。 - オープンソースをサポートする「OpenStandiaモデル」
これからのSIerが取り組むべき「差別化」戦略の有効な手段であるオープンソースの活用について、オープンソースビジネスを5つに分類して考察。今回は、既存のOSS(オープンソースソフトウェア)をサポートするビジネス「OpenStandiaモデル」について解説します。 - OpenSSL脆弱性の再発防止へ、業界大手が重要オープンソースプロジェクトを支援
GoogleやMicrosoft、富士通などの大手が参加して、インターネットのインフラを担うオープンソースプロジェクトを資金面でバックアップする。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.