OSSのセキュリティリスクにはどう向き合う? 「Log4Shell」脆弱性から学ぶ取り組み【海外セキュリティ】
バグの修正にかかる時間は年々短くなっている、一番修正が迅速なのはどこ?
Googleの脆弱性(ぜいじゃくせい)発見チーム「Project Zero」が2022年2月10日に、2019年から2021年の間に発見されたバグとその修正の実態についてのレポートを発表しました。これにより、脆弱性が発見されてからパッチがリリースされるまでの期間が大きく短縮されたことや、IT大手各社の中でもバグ修正にかかる時間に開きがあることなどが分かりました。 Project Zero: A walk through Project Zero metrics https://googleprojectzero.blogspot.com/2022/02/a-walk-through-project-zero-metrics.html 以下は、Project Zeroが2019年から2021年の間に発見したバグとその修正期間をまとめた表で、タイトル行の項目は左から「ベンダー」「バグの総数」「
Linuxの脆弱性修正はどのベンダーよりも早かった--グーグルのProject Zeroが発表
Steven J. Vaughan-Nichols (Special to ZDNET.com) 翻訳校正: 編集部 2022-02-21 11:48 GoogleのセキュリティチームであるProject Zeroが発表したレポートで、Linuxの開発者が、Googleを含む他のどのベンダーも早くセキュリティバグを修正していたことが分かった。 レポートでは、2019年1月から2021年12月の間に報告された修正済みのバグについての数字を取り上げている。Project Zeroによれば、Linuxの脆弱性はわずか平均25日で修正されていた。それに加え、Linuxの開発者は、セキュリティホールの修正にかかる時間も大幅に短縮しており、2019年には平均32日かかっていたのに対して、2021年には15日にまで改善された。 この結果は、競合する他のベンダーよりもはるかに優れたものだ。例えば、Appl
元・Java専門記者がLog4j 2脆弱性に見た「複雑性と魔神のかけら」 Javaの歴史とバザールの矛盾
元・Java専門記者がLog4j 2脆弱性に見た「複雑性と魔神のかけら」 Javaの歴史とバザールの矛盾(1/6 ページ) Javaのライブラリ「Apache Log4j 2」に深刻な脆弱性が発見されたことは記憶に新しい。1カ月以上経過した現在も、注意喚起や新たな情報提供が続いている。問題は完全に収束したとはいえない。 今回の記事の主題は脆弱性対策ではない。「Javaの歴史的経緯と、今回騒ぎになっている脆弱性の話を、うまく1本の記事にしてください」という編集部のオファーに応じて書いたものだ。記事の半分は「元・Java専門記者のナイショ話」である。現実の情報システムへの対処が必要な方は、まず下記ページから最新情報をチェックしていただきたい。 IPA Apache Log4j の脆弱性対策について(CVE-2021-44228) Apache Log4j 2公式ページ Log4j 2で今回問題
日立、脆弱性検索エンジンを「MIRACLE Vul Hammer」に提供--OSSのセキュリティ対策強化
日立製作所(日立)は、高まるサイバー攻撃の脅威に対応するため、同社独自の「脆弱性検索エンジン」をサイバートラストの脆弱性管理ソリューション「MIRACLE Vul Hammer」に組み込む。これにより管理対象システムのオープンソースソフトウェア(OSS)利用情報と脆弱性情報を高い精度で照合し、脆弱性の有無を自動的に可視化・通知する機能を実現できる。 「MIRACLE Vul Hammer」は、大規模なシステムを管理・運用する企業向けに提供する、OSSやその他のソフトウェアの脆弱性管理を効率化するためのソリューション。サイバートラストは、日立の脆弱性検索エンジンを組み込んだMIRACLE Vul Hammerを販売開始している。 日立の脆弱性検索エンジンでは、脆弱性情報の標準的なフォーマットを学習させた最適化アルゴリズムを搭載することで、表記揺れを吸収するあいまい検索を可能とし、高い精度の照
グーグル、OSSの脆弱性を記述するための共通フォーマットを公開
Steven J. Vaughan-Nichols (Special to ZDNET.com) 翻訳校正: 編集部 2021-06-28 12:41 業務改善の専門家であり、多くの著書を持つH. James Harrington氏は、「測定できないものを理解することはできず、理解できないものを制御することはできず、制御できないものを改善することはできない」と述べている。Googleはこの助言に従って、異なるオープンソースエコシステム間で脆弱性情報を交換するための統一的な脆弱性記述方式を導入することで、オープンソースのセキュリティを強化しようとしている。 これはとても重要な問題だ。基本的な問題として、現状では、脆弱性データベースが数多く存在しているにもかかわらず、脆弱性に関する情報を記述するための標準的な共通フォーマットが存在していない。このため、複数のデータベースの情報を集約しようとすれ
Googleがオープンソース脆弱性のデータベースをPythonやGoにまで拡大
オープンソースプロジェクトにまつわる脆弱性の問題を解決するため、Googleは脆弱性データベース「Open Source Vulnerabilities(OSV)」を構築しています。2021年6月24日付けの発表で、OSVが扱うオープンソースプロジェクトの範囲がPython、Rust、Go、DWFにまで拡大することが明らかになりました。 Google Online Security Blog: Announcing a unified vulnerability schema for open source https://security.googleblog.com/2021/06/announcing-unified-vulnerability-schema.html GitHub - google/oss-fuzz: OSS-Fuzz - continuous fuzzing fo
オープンソースソフトウェアの採用率は98%に拡大、脆弱性含む割合も増加の一途
オープンソースソフトウェアの採用率は98%に拡大、脆弱性含む割合も増加の一途:IoTセキュリティ(1/2 ページ) 日本シノプシスは、商用ソフトウェアにおけるOSS(オープンソースソフトウェア)の利用状況を調査した「2021年オープンソース・セキュリティ&リスク分析(Open Source Security and Risk Analysis:OSSRA)レポート」の結果について説明した。 日本シノプシスは2021年5月21日、オンラインで会見を開き、商用ソフトウェアにおけるOSS(オープンソースソフトウェア)の利用状況を調査した「2021年オープンソース・セキュリティ&リスク分析(Open Source Security and Risk Analysis:OSSRA)レポート」の結果について説明した。 同レポートは、企業買収時のソフトウェアの査定などを行っているBlack Duckの監
グーグル、オープンソースの脆弱性をデータベース化する「OSV」プロジェクトを開始
Googleは、オープンソースで開発されているソフトウェアの脆弱性がどのバージョンで生じ、どのバージョンで修正されたかなどの詳細をデータベース化する「OSV」(Open Source Vulnerabilities)プロジェクトの開始を発表しました。 ITジャーナリスト/Publickeyブロガー。大学でUNIXを学び、株式会社アスキーに入社。データベースのテクニカルサポート、月刊アスキーNT編集部 副編集長などを経て1998年退社、フリーランスライターに。2000年、株式会社アットマーク・アイティ設立に参画、オンラインメディア部門の役員として2007年にIPOを実現、2008年に退社。再びフリーランスとして独立し、2009年にブログメディアPublickeyを開始。現在に至る。 オープンソースはクラウド基盤からアプリケーションまで、さまざまな場所で重要な役割を果たすようになってきています
【セキュリティ ニュース】ルータなどで広く利用されるDNSに脆弱性「DNSpooq」が判明(1ページ目 / 全3ページ):Security NEXT
ルータなど組込機器なども含め、広く利用されている「Dnsmasq」に脆弱性「DNSpooq」が明らかとなった。大きな影響を及ぼす可能性もあり、アップデートが呼びかけられている。 「Dnsmasq」は軽量で「DNS」や「DHCP」などが利用でき、組込機器などでも広く利用されているオープンソースのソフトウェア。「同2.82」および以前のバージョンにおいて、キャッシュポイズニングの脆弱性3件やDNSSECを利用している場合にバッファオーバーフローが生じる脆弱性4件が明らかとなったもの。 脆弱性を報告したJSOFは、今回明らかとなったこれら脆弱性をDNSスプーフィングが可能な点やスパイを意味する「spook」などから「DNSpooq」と命名した。 同社は「Dnsmasq」について、Cisco SystemsやAruba、Comcast、Netgear、Red Hat、Siemensのほか、Andr
ソフトウェアの「パッケージ」を利用してAppleやPayPalなどの大企業をハッキングする方法とは?
高度にデジタル化された社会においてハッキングは大きな脅威となっており、2020年にはアメリカ政府機関への大規模なハッキング被害が判明したほか、水道システムがハッキングされて基準値の100倍もの有害物質が水道水に混入されかける事件も発生しました。そんな中、サイバーセキュリティ研究者のAlex Birsan氏が、ソフトウェアの「パッケージ」を利用して名だたる大企業にハッキングを仕掛ける方法について解説しています。 Dependency Confusion: How I Hacked Into Apple, Microsoft and Dozens of Other Companies | by Alex Birsan | Feb, 2021 | Medium https://medium.com/@alex.birsan/dependency-confusion-4a5d60fec610 An
人気の高いオープンソースプロジェクトで脆弱性が増加--RiskSense調査
Catalin Cimpanu (ZDNET.com) 翻訳校正: 編集部 村上雅章 野崎裕子 2020-06-11 08:30 RiskSenseが公開した、オープンソースソフトウェアの脆弱性に関するレポート「The Dark Reality of Open Source」(オープンソースの暗たんたる現状)によると、人気のある54のオープンソースプロジェクトを分析した中で、共通脆弱性識別子(CVE)が発番された脆弱性は2018年の421件から、2019年の968件に増加していたという。 レポートによると、これらのプロジェクトでは2015年〜2020年3月に2694件の脆弱性が報告されていたという。 なお同レポートは、Linuxのほか、「WordPress」や「Drupal」をはじめとする、人気の高い無償ツールを調査対象外としている。というのも、そういったツールはたいていの場合、しっかりと
組織にとってリスクとなりつつあるOSS、脆弱性の情報公開が遅れる傾向
RiskSenseはこのほど、「Open Source Spotlight Report」において、50のオープンソース・ソフトウェア(OSS)・プロジェクトを調査した結果を公表した。脆弱性について調査が行われており、OSSが組織にとってリスクになりつつあると指摘している。 報告書の主なポイントは次のとおり。 OSSにおいて発見される脆弱性の数が歴史的なペースで増加している。 OSSの脆弱性情報がNVDに登録されるのが遅い。深刻度が緊急なものほど遅れる傾向が見られる。 脆弱性は開発、テスト、オーケストレーション、コンテナ、ワークロードなどすべてのフェーズに存在している。 オープンソーススポットライトレポート OSSはソフトウェア開発において重要な役割を担っている。特にライブラリは多くのソフトウェアで使用されており、こうしたライブラリに重大な脆弱性が存在した場合、影響を受けるソフトウェアの数
ビズリーチ、OSSの脆弱性管理サービス「yamory」を提供開始
転職サイト「ビズリーチ」や求人検索エンジン「スタンバイ」といった人材関連事業や、事業承継M&Aプラットフォーム「ビズリーチ・サクシード」に加え、新たな事業領域への参入となる。 株式会社ビズリーチ 取締役 CPO兼CTO 竹内真氏(左)、代表取締役社長 南壮一郎氏(右) 代表取締役社長の南壮一郎氏は、「創業以来、一貫して社会構造の変革と技術革新によって生まれる課題について事業として取り組んできた。事業が増え、組織が拡大するなかでサイバーセキュリティの重要性を再認識した」と自社の経験を踏まえつつ、市場規模の拡大予測とともに、今回の新規参入の意図を説明した。 「yamory」は、オープンソースソフトウェア(OSS)の利用状況の把握から脆弱性情報との照合、対応優先度の決定、開発チームへのアラート、対応策の支援まで、ワンストップで行えるオープンソースの脆弱性管理ツール。SaaSの形態で提供される。こ
大規模ソフトの99%に用いられるOSS「今は脆弱性なくても将来必ず見つかる」
日本シノプシスが各種産業におけるOSS(オープンソースソフトウェア)の利用状況を調査した「2019オープンソース・セキュリティ&リスク分析レポート」の結果について説明した。 日本シノプシスは2019年5月29日、東京都内で会見を開き、各種産業におけるOSS(オープンソースソフトウェア)の利用状況を調査した「2019オープンソース・セキュリティ&リスク分析(2019 Open Source Security and Risk Analysis:OSSRA)レポート」の結果について説明した。 このレポートは、企業買収時のソフトウェアの査定などを行っているBlack Duckの監査サービス部門の調査内容を匿名化し、シノプシスのCyRC(Cybersecurity Research Center)が分析し所見をまとめたものだ。今回の実施時期は2018年で、17の業種、1200以上の商用アプリケーシ
自動車のセキュリティって何をすればいいんですか?
自動車のセキュリティって何をすればいいんですか?:いまさら聞けないクルマのあの話(5)(1/2 ページ) 自動車の通信機能やインフォテインメントシステムが充実することで、セキュリティの重要性が高まっている。さまざまな開発課題に対応するため、自動車のセキュリティに十分にリソースを割くことができていない現状もある。日本シノプシス ソフトウェアインテグリティグループ シニアソリューションアーキテクトの岡デニス健五氏に話を聞いた。 自動車の通信機能やインフォテインメントシステムが充実することで、セキュリティの重要性が高まっている。大手サプライヤーはIT企業と連携を強化し、協業や共同出資会社の設立といった取り組みを推進する。しかし、さまざまな開発課題に対応するため、自動車のセキュリティに十分にリソースを割くことができていない現状もある。 日本シノプシス ソフトウェアインテグリティグループ シニアソリ
Equifax事件の再発を防ぐために――2018年、オープンソースソフトウェア(OSS)向けリスク管理が不可欠になる理由
Equifax事件の再発を防ぐために――2018年、オープンソースソフトウェア(OSS)向けリスク管理が不可欠になる理由:「OSSは、安易に取ってきて使えばいいものではない」(1/3 ページ) 全世界のソフトウェア開発で、オープンソースソフトウェア(OSS)を使用する動きが広まる一方、それに伴うリスク対策が遅れている。2017年、こうしたリスクは実際に大規模な情報漏えいや訴訟を引き起こした。こうした例を踏まえて、2018年は開発現場でどのような対策が有効なのか、専門家に話を聞いた。 2017年、オープンソースソフトウェア(OSS)が新たな局面を迎えた。ソニーやヤフーなどの大企業が、新たにAIや機械学習向けのOSSを市場に無償投入し、「新技術の成長を支える」場としての注目度を高めたのだ。今、多くのソフトウェア開発現場で、OSSの使用がますます一般化している。だからこそ、2018年にいっそう注
OSSと脆弱性の“現実”--脆弱性の真犯人は誰か?
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 本連載「企業セキュリティの歩き方」では、セキュリティ業界を取り巻く現状や課題、問題点をひもときながら、サイバーセキュリティを向上させていくための視点やヒントを提示する。 なぜOSSが存在するのか? 今回は「OSSと脆弱性の“現実”」シリーズの最終回となる。オープンソースソフトウェア(OSS)の脆弱性の本当の原因は何かとともに、利用者がOSSとどのように付き合っていくかを述べていく。 まず、「なぜOSSが世の中に存在するのか」というところに立ち戻って考えてみたい。OSSが存在する理由は、もちろんLinuxの誕生などに端を発する諸事情などがあるが、結論から言うと、「誰かが作っている」からに他ならない。 この「誰か」はOSSの開発者だ。そして
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
GoogleがOSSの脆弱性DB「OSV」を開始、セキュリティリスク取りこぼしは減るか
GitHubが開発ライフサイクルのすべてをセキュアにする――、OSSを取り巻くセキュリティ動向を説明
