FOSSセキュリティ弱点トップリスト：Trend Insight（1/2 ページ）

FOSSセキュリティ弱点トップリストに名を連ねたFOSS。しかし、問題は、ソフトウェア資産にあまりに無頓着な企業の姿勢である。

[Bruce-Byfield，Open Tech Press]

　企業がオープンソースソフトウェアの監査をするのを手助けする、サンフランシスコを拠点とする企業Palamidaが、『最も見逃されがちなオープンソースのセキュリティ弱点トップ5』と名付けたリストを公開した。また今回Linux.comのために、さらに5個のセキュリティ弱点を公開した。

　同リストは、National Vulnerability Databaseリストに基づいて最近新たに431のセキュリティ警告が追加された、Palamidaのセキュリティ弱点報告ソリューションの販売促進の一環として作成されたものだ。とはいえ同リストには、企業内でのオープンソースソフトウェアのルーズな使用に対して注意を喚起する目的もあるとPalamidaの共同設立者でマーケティング担当副社長を務めるテレサ・ブイ氏は述べている。

　同リストに掲載されているセキュリティ弱点は、より正確に説明すればPalamidaがクライアント企業を監査した結果に基づくものだ。そのような監査には、数百Mバイトのコードの監査から企業の全ソフトウェアインフラストラクチャにおける何百ギガバイトのコードの監査まで、さまざまな規模のものがある。同リストは300〜500万行のコードを調査した結果をまとめたものだが、この数字はPalamidaがクライアント企業のために調査したソフトウェアの少なくとも30％（多くの場合は少なくとも50％）をカバーしているという。

　ブイ氏は「Palamidaは最もよく使用されているオープンソースのプロジェクトとそのバージョンについての情報を収集している」と述べた。なおPalamidaのデータベースには約88万4000ものプロジェクトとバージョンがリストされているが、それでもこれですべてをカバーしているわけではないという。

　ブイ氏は次のように説明した。「例えば、独自のオープンソースプロジェクトを自分自身でホストしているベネズエラの大学生がいたとして、彼のプロジェクトの導入率があまり高くなければ、Palamidaが彼のことを知る可能性はあまりないだろう。しかしだからといって、ある企業の開発者の誰かが彼のホームページを見つけることがないかといえば、決してそうではない。Palamidaはメジャーなレポジトリやよく使われているオープンソースプロジェクトのすべてを確実にカバーしようと努めているが、当然ながら、取りこぼしてしまう個人による単発のプロジェクトなどは常に存在するだろう。企業としてはその点を常に意識しておかなければならない」。

　けれどもブイ氏は、同リストがオープンソースソフトウェアが現在企業内でどのように利用されているのかを表わしていることは間違いないと断言した。「その辺にあるどの企業でも、そのコードベースを調べてみれば十中八九、リストに載っているオープンソースプロジェクトのどれかを企業内で利用しているだろう」。

セキュリティ弱点トップ10

　PalamidaはLinux.comに対して、影響のあるソフトウェア、ソフトウェアの説明、弱点の内容、問題を修正したパッチ／アップデート、をまとめたリストを提供した。影響のあるソフトウェアとしては、Apache GeronimoとApache Strutsの複数のバージョン、JBoss Application Server、OpenSSHとOpenSSL、またLibpng、LibTiff、Zlibなどの良く使われているライブラリなどが挙げられている。

　ブイ氏は、これらの弱点のすべてについてパッチやソフトウェアの新版が利用可能になっているという点を強調した。問題は、多くの企業がパッチやアップデートの存在――さらに言えば多くの場合、そのようなソフトウェアを利用しているという事実――に気づいていないということだ。セキュリティ弱点は次第に、企業のインフラストラクチャ内やユーザーのデスクトップ上に存在するだけでなく、企業が出荷するコードの中にまで存在するようになってきている。