本記事はサイバー・セキュリティに関するニュースを集めた情報サイト
「IoT OT Security News」に掲載されている情報から
セキュリティニュースを一部抜粋してご紹介するものです。
記事詳細は下部に記載のURLよりご覧ください。
2022/12/09 HelpNetSecurity — Endor Labs の最新レポートが示すのは、アプリケーション開発における既存オープンソース・ソフトウェアの多用と、未成熟な監視の体制と、一般的な慣行から生じる危険性についての見解である。一例を挙げると、全脆弱性の 95%は過渡的依存関係 (開発者は選択していないが、間接的にプロジェクトに取り込まれるオープンソースのコードパッケージ) にあることが、この調査により判明している。
オープンソースの脆弱性
Endor Labs の CEO である Varun Badhwar は、「ベテランの開発者や経営者でさえ、最近のアプリケーションのコードの 80% が、既存の OSS に由来していることに驚くことがある。オープンソースは大規模な分野でありながら、これまで看過されてきた。オープンソース・コードの再利用が、その潜在能力を発揮するためには、セキュリティを最優先事項にする必要がある」と述べている。
問題になるのは、既存のオープンソース・コードを新しいアプリケーションで広く使用することではなく、これらのソフトウェアの依存関係のうち、開発者が意図的に選択するものが、ごく一部に過ぎないということだ。
残りの部分は推移的かつ自動的に、コードベースに取り込まれる間接的な関係に依存している。そのため、潜在的な脆弱性と特定可能な脆弱性が、セキュリティと開発の両分野に等しく影響を及ぼすことになる。
レポートの主な調査結果
その他の調査結果は下記の通り:
・・・
|
|
|
https://iototsecnews.jp/2022/12/09/research-reveals-where-95-of-open-source-vulnerabilities-lie/
|
IoT OT Security Newsとは
欧米やアジアのサイバー・セキュリティに関するニュースを集めた情報サイト
日々世界中のセキュリティ系サイトで発信される情報を和訳し記事化しています。
https://www.grcs.co.jp/products/z-today