「OSSの脆弱性にはパッチ適用を」が通用しない理由
Lineaje Data Labsは、Apache Software Foundationのプロジェクトに組み込まれている41,989のオープンソースコンポーネントを分析した調査レポートを発表した。 セキュリティマネジメントを提供するLineaje Data Labsは、2023年4月17日(米国時間)、Apache Software Foundationの上位44の人気プロジェクトに組み込まれている4万1989のオープンソースコンポーネントを、過去3バージョンにわたり分析した調査レポートを発表した。 コンポーネントを分析したところ、82%は脆弱(せいじゃく)性やセキュリティ問題、コード品質または保守性の懸念によって本質的にリスクを抱えていることが分かった。 OSSのリスク Lineaje Data Labsが実施した調査によって、オープンソースソフトウェア(OSS)のリスクに関して追加で
84%に少なくても1つの既知の脆弱性、89%が4年以上前のコード--OSSRA調査最新版
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 日本シノプシスは3月14日、「2023年 オープンソース・セキュリティ&リスク分析(Open Source Security and Risk Analysis:OSSRA)レポート」に関する説明会を開催した。Synopsysの研究機関Cybersecurity Research Center(CyRC)が、企業の合併・買収(M&A)に際して棚卸しした1703のソフトウェアを対象に匿名化したデータを分析している。 Synopsysのリスク診断を実施した1480のコード中、既知の脆弱性を1つ以上含んでいた割合は84%(昨年比4%上昇)、4年以上前のコードを含む割合は89%(昨年比4%上昇)だった。 日本シノプシス ソフトウェア・インテグリ
Trellix、61,000のオープンソース・プロジェクトに脆弱性パッチを適用
組織のセキュリティ対策 2023.1.26 昨年(2022年)末、Trellix Advanced Research Centerチームは、Pythonのtarfileモジュールに脆弱性があることを発見しました。この脆弱性は、15年前に発見されたCVE-2007-4559で、攻撃者が任意のファイルを上書きすることができる可能性があるものでした。CVE-2007-4559は、2007年にPythonプロジェクトに報告され、チェックされないまま、推定35万件のオープンソースプロジェクトに意図せず追加され、クローズドソースプロジェクトにも広く浸透していました。 本日(2023年1月23日)、この作業に関する最新情報をお伝えします。GitHubを通じて、当社の脆弱性調査チームは、以前からこの脆弱性の影響を受けていた61,895のオープンソースプロジェクトにパッチを適用しました。この作業は、Kasi
Googleの無料オープンソース脆弱性スキャンツール「OSV-Scanner」の実力とは?
Googleは2022年12月13日(米国時間)、オープンソース開発者が自分のプロジェクトに関連する脆弱(ぜいじゃく)性情報に簡単にアクセスできる無料ツール「OSV-Scanner」を公開した。 Googleは2021年にオープンソースソフトウェア(OSS)の開発者と利用者のために、脆弱性のトリアージ(優先順位を付けて対処すること)を改善する取り組みとして、「Open Source Vulnerability」(OSV)スキーマを公開し、これに基づく分散型オープンソース脆弱性データベースサービス「OSV.dev」を立ち上げた。OSV-Scannerの公開は、この取り組みの次のステップだとしている。 OSVスキーマは、全てのオープンソースエコシステムと脆弱性データベースが、1つのシンプルで正確かつ機械可読なフォーマットで情報を公開し、利用できるようにする。OSVデータベースは、プロジェクトの
Blog|OSSの脆弱性を発見して、CVEを2件取得するまで 脆弱性の発見・報告のポイント紹介
Amazon Translateでも利用されている機械翻訳フレームワークSockeyeとPythonのマイクロサービスフレームワークnamekoの任意のコード実行に繋がる脆弱性を発見し、報告を行い、CVEを2件(CVE-2021-43811, CVE-2021-41078)取得しました。 オープンソースソフトウェア(OSS)の脆弱性を発見、報告、CVEを取得までどのような過程を経たのか、OSSの脆弱性を見つける場合にはどのようにすると良いのか、報告方法はどうすればいいのか、今回の経験をもとにポイントを紹介します。 脆弱性報告の経緯 そもそもOSSの脆弱性を発見した経緯としては、前回の「TensorFlowだけじゃない!安全でないデシリアライゼーション in Python」の記事を書く中で、GitHubでyaml.unsafe_loadやyaml.UnsafeLoaderで検索すると脆弱な実
QEMU脆弱性を利用したVMエスケープ攻撃の検証:概要&テスト環境構築編
本連載「OSS脆弱性ウォッチ」では、さまざまなオープンソースソフトウェア(OSS)の脆弱(ぜいじゃく)性に関する情報を取り上げ、解説しています。 今回から数回に分けて、セキュリティ技術の会の佐藤琳音が執筆します。具体的には、OSSのプロセッサエミュレータである「QEMU(キューエミュ)」の脆弱性を悪用したVM(仮想マシン)エスケープ攻撃に関する事例を紹介します。 脆弱性の概要 2016年、CrowdStrike シニアセキュリティリサーチャーのJason Geffner氏はQEMUの仮想フロッピードライブコントローラのコードに存在するバッファーオーバーフローの脆弱性を発見しました。この脆弱性が悪用された場合、攻撃者が仮想マシンから抜け出し、ホスト側のシステムに対してアクセスし、任意のコード実行が可能となる恐れがあると「CVE-201503456」で報告されています。 また2011年には、N
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
【セキュリティ ニュース】OSSコミュニティ、脆弱性修正に3カ月弱 - 4年で半数が終了(1ページ目 / 全2ページ):Security NEXT
シノプシス、オープンソースのセキュリティ/リスク分析レポート 2022年版を公開
