yamoryのリリースとOSSの脆弱性の増加
今年8月にビズリーチがOSSの脆弱性を管理する「yamory」を自社開発し、提供を開始しました。(*1) (この「yamory」はOSSの利用状況を自動的に抽出してデータベース化し、各種の脆弱性情報と照合し、対策までの各種作業の自動化を支援するツールで、エンジニアがサイバー攻撃の増加の中で困難を極めていく脆弱性管理作業をもっと楽に、簡単にできたらいいのに・・・という思いから生まれたツールだそうです。
(*1) オープンソース脆弱性管理ツール「yamory(ヤモリー)」をリリース【株式会社ビズリーチ】
米国シノプシス社が公開した「2019 年オープンソース・セキュリティ&リスク分析レポート」(*2)によると、Black Duck監査で2018年にスキャンしたコードベースのうち96%以上にオープンソースが見つかったそうです。また、解析したコードに占めるオープンソースの割合は60%で前年の57%からわずかですが上昇しています。
2018年に開示された脆弱性の件数は16,500件を超え、オープンソースの脆弱性も7,400件弱が追加されました。監査したコードベースの60%には少なくとも一つの脆弱性が含まれており、中には28年も前に開示された脆弱性をはじめ、10年以上も経過した脆弱性が43%も見つかりました。
(*2) 2019年オープンソース・セキュリティ&リスク分析(OSSRA)レポート
現代のアプリケーションには、コンポーネントを含め多くのOSSが利用されています。しかしながら、OSSの脆弱性に関する情報は、開発元から情報が提供される商用ソフトと違って自ら収集する必要があります。もしこの脆弱性に関する情報について十分な対応をしていなければ、この脆弱性を狙ったサイバー攻撃のターゲットになってしまい提供しているサービスの中断や情報の流出などの被害が発生しビジネス上で大きな損害を被ることになります。
国内外の脆弱性情報
政府支援の団体が提供している情報
脆弱性情報は、共通脆弱性評価システム(CVSS: Common Vulnerability Scoring System)を使って世界共通のデータベースで管理されています。新しい脆弱性が見つかると共通脆弱性識別子(CVE: Common Vulnerabilities and Exposures)が与えられて公表され、利用者が脆弱性のレベルに応じて必要な対策を行いやすくしています。この情報は、米国政府の支援を受けたMITRE社(*3)が運営しているサイトで公開されています。そのサイトでは、「脆弱性の概要 (Description)」「参考URL (References)」「ステータス (Status)」が記述されています。さらに詳しい情報が必要な場合は、アメリカ国立標準技術研究所(NIST)が管理している脆弱性情報のデータベースであるNVD(National Vulnerability Database)(*4)のWebサイトを参照する必要があります。
日本でもこれらの団体と連携して、JVN (Japan Vulnerability Notes)(*5)という脆弱性情報データベースを JPCERT/CCと情報処理推進機構(IPA)が共同で管理してWebサイトで公開しています。このJVNには、パッチはもちろんのこと回避策も公開されています。
(*3) MITRE
(*4) NVD(National Vulnerability Database)
(*5) JVN (Japan Vulnerability Notes)
コミュニティから立ち上がった団体が提供している情報
また情報セキュリティ・コミュニティの個々人が利用できる独立系の脆弱性データベースを構築・運営する目的で2002年8月のBlack Hat & DEFCONカンファレンスで構想が発表され、立ち上がったOSVDB(Open Source Vulnerability Database)というオープンソース脆弱性データベースがあります。
しかしながらこのようなサイトはまとめサイトになります。利用しているOSSに関する詳しい情報は、それぞれのOSSのサイトやメーリングリストで公開されていますので、そちらにアクセスすることが必要になります。
利用しているOSSの数が増えてくると、脆弱性に関する情報を収集するだけでも相当な工数になり手間がかかります。
最後に
このように多大に手間がかかることが脆弱性がOSS活用時のリスクだと言われる所以ですが、このような脆弱性に関する情報を提供するサービスを実施している会社もいくつかありますので、そのようなサービスを活用することもOSSを賢く活用するための秘訣かもしれません。
(*)本文中記載の会社名、商品名、ロゴは各社の商標、または登録商標です。