昨今のウェブアプリケーションでは、ほとんどの場合、オープンソースのフレームワークやライブラリのような、自社開発ではないパッケージ化された部品(コンポーネント)を組み合わせて構築することでしょう。ですから、もしも既知の脆弱(ぜいじゃく)性が存在するようなコンポーネントを利用してウェブアプリケーションを開発していた場合には、組み込まれたコンポーネントの脆弱性を悪用され、攻撃を受けてしまう可能性が高くなります。 本稿では、ウェブアプリケーションに組み込まれている脆弱性が存在するコンポーネントの洗い出しに有用な、OWASPコミュニティより公開されているツール「OWASP Dependency Check」の概要および利用方法について解説します。 はじめに 本連載の第1回では、ウェブアプリケーションにおける重要なインパクトのある10のセキュリティリスクについてまとめた「OWASP Top 10」につ
![組み込んだOSSコンポーネントの更新漏れを可視化する「OWASP Dependency Check」](https://cdn-ak-scissors.b.st-hatena.com/image/square/4a1ecebec418ef3a3341fe3e6ef25fd64c778591/height=288;version=1;width=512/https%3A%2F%2Fcodezine.jp%2Fstatic%2Fimages%2Farticle%2F9608%2F9608_t.png)