調査からアプリケーションのソースコードの約7割に脆弱性が含まれていることが明らかになった。また、生成AIが書いたソースコードにも脆弱性が含まれているケースがあるようだ。
この記事は会員限定です。会員登録すると全てご覧いただけます。
コンピュータ情報サイトの「Help Net Security」は2024年2月20日(現地時間)、セキュリティ企業のVeracodeのレポートを引き合いに出し、アプリケーションの63%がファーストパーティーコードに欠陥を持ち、70%がサードパーティーライブラリーを通じてインポートされたコードに脆弱(ぜいじゃく)性を持つと発表した。
レポートによると、アプリケーションの脆弱性は組織におけるサイバー攻撃のリスク要因となる。1年以上修正されていないアプリケーションの脆弱性、すなわち「セキュリティ負債」を抱えている組織は46%ほどになるという。
この状況を改善するためにはソフトウェア開発ライフサイクル全体を通じてこれらの脆弱性のテストを実施することが重要で、利用しているサードパーティーライブラリーの脆弱性について継続的に修正を続けることが求められる。
ソフトウェア開発者は開発作業を効率化するために、生成AI(人工知能)を利用するようになっている。最近は開発環境における生成AI機能の統合が進められており、開発者は効率的に生成AIからのアドバイスや、生成AIの提示するソースコードを活用できるようになっている。
しかし生成AIが作成するソースコードには脆弱性が含まれているケースもあり注意が必要だ。セキュリティ研究者らが公開した「Security Weaknesses of Copilot Generated Code in GitHub」によると、「GitHub.com」でホストされている「Microsoft Copilot」が生成したソースコードに対して脆弱性解析を実施し、調査した425個のコードスニペット(6つのプログラミング言語)の35.8%に脆弱性が含まれていたという。
Copyright © ITmedia, Inc. All Rights Reserved.