人気オープンソースプロジェクトの脆弱性、1年で倍増 44
ストーリー by hylom
出ることよりも対応の遅れの方が問題か 部門より
出ることよりも対応の遅れの方が問題か 部門より
taraiok曰く、
人気の高いオープンソースプロジェクトの上位54本を分析した結果、セキュリティの脆弱性が1年で2倍に増えていたことが判明した。2018年に報告されたバグは421個であったのに対して、2019年には968個に倍増していたという。RiskSenseの「The Dark Reality of Open Source」レポートによれば、2015年から2020年3月の間で人気オープンソースプロジェクトで2,694個のバグが発見されたとしている(ZDNet、Slashdot)。
Linux、WordPress、Drupalといった超人気プロジェクトに関しては、セキュリティバグがニュースとして報じられるため、このレポート内には含まれていないという。RiskSenseのレポートには、Jenkins、MongoDB、Elasticsearch、Chef、GitLab、Spark、Puppetといった、一般的な知名度は高くないがテクノロジーおよびソフトウェアコミュニティで広く利用されているプロジェクトを対象としている。
今回の調査で同社は、多数のセキュリティバグが公開されてから数週間が経過した後で脆弱性データベースNational Vulnerability Database(NVD)に報告されたことを問題視している。54のプロジェクトで発見されたバグに関しては、NVDに報告されるまでに平均で約54日を必要とした。PostgreSQLではPostgreSQLでは8か月に及ぶ報告の遅れが見られたとしている。こうしたレポートの遅延により、企業が攻撃にさらされたままになっている状況が発生していたとしている。
だからオリジナルのソースを付けろ (スコア:1)
RiskSenseの「The Dark Reality of Open Source」レポート
https://info.risksense.com/open-source-spotlight-report-bl [risksense.com]
同社による解説ブログ
https://risksense.com/blog/is-open-source-your-risk-based-blind-spot/ [risksense.com]
詐欺タイトル (スコア:0)
× 人気オープンソースプロジェクトの脆弱性、1年で倍増
〇 人気オープンソースプロジェクトの脆弱性を探す目の数、1年で倍増
Re:詐欺タイトル (スコア:1)
去年まではみんな片目で探してたんですね。
Re: (スコア:0)
片目どころか…なかった事にするのは穏当な方で…だからなぁ。
Re: (スコア:0)
いくつかの目はガラスだったのかもしれない
Re: (スコア:0)
目の数が2倍になっただけで脆弱性が2倍見つかるなんてなんて低品質……
Re: (スコア:0)
――リーナスの法則
Re: (スコア:0)
直す手もありゃあね
Re: (スコア:0)
いやいや、脆弱性とともに生きる寛容な心があればいい。
Re: (スコア:0)
100%バグフリーを求めるバカがいるからねえ。
Re:詐欺タイトル (スコア:1)
Re: (スコア:0)
microsoftやappleと違って直されているよ
Re: (スコア:0)
物凄くたくさん要る。
https://www.freebsd.org/doc/ja/books/faq/misc.html#idp52962424 [freebsd.org]
12.16.ひとつの電球を取り替えるのに、何人の FreeBSD ハッカーが必要?
1,172人です。
Re: (スコア:0)
じゃあヤツメウナギに探させよう。
# 増えてない
Re: (スコア:0)
目玉(脳)の質…
Re: (スコア:0)
目の数が増えたというよりもFuzzingツールが進化して脆弱性が発見されやすくなったという印象ですね。
例えば最近だとFIFUZZ [usenix.org]というエラーハンドリングコードを重点的にFuzzingするツールが登場してOSSプロジェクトの脆弱性が大量に発見されました。
Re: (スコア:0)
バグに限らず、ウイルス検知なんかもさ、検知したら悪みたいな風潮はあるよね。
もうかなり昔の話にはなるけど、隣の部署の人がとある軍事関連企業にシステム納めにいってた時に聞いた話。そこの社内で Form (当時流行ったウイルス) が検知されたらしいんだけど、その検知された端末の所有者が懲戒解雇になったって言ってた。
Re: (スコア:0)
例えば、会社のパソコンで業務と関係無いサイトを閲覧して、そこで感染したマルウェアを社内に広めたりしたら、普通はその社員に厳しい処分が下ると思うよ。
> バグに限らず、ウイルス検知なんかもさ、検知したら悪みたいな風潮はあるよね。
でも、これは何だか色々と怖い職場だねえ。
Re: (スコア:0)
隠しちゃうから良くないのはあるかもしれないが、お咎めなしだとルールなんか守らないよ?
経緯をヒアリングして決めればよいのでは。
そもそもユーザは隠すものという前提で動いてるから報告ルールが守られるなんて思ってないし、実際そう。
システマチックに、検出したらアラートが上がるようになってる。
Re: (スコア:0)
検知は悪じゃないよねって事だと思う。
直接の非が無く発生したウイルス検知に対して、無意味な叱責で空気を悪くするのは阿呆の仕事。
ルール違反にはお咎めは要るだろうけど、それとて行為に応じた戦略的な譴責が望ましい。
不用意に脅しをかけて従業員が適切な情報を提供しなくなれば、やはり問題解決の障害になるから。
Re: (スコア:0)
完成された職場においては、空気がどうなろうと関係がない。システムが維持されるかどうか。
むしろ、システムが維持されるなら、弱いやつはどんどん消えてくれまである。
Re: (スコア:0)
なんか人間とか要らなそうな職場ね。
Re: (スコア:0)
全機械化・IT化・AI化で問題ない。オーナーが潤うなら、フル アウトソースですら問題ない。
Re: (スコア:0)
完成された地球においては、空気がどうなろうと関係がない。生態系が維持されるかどうか。
むしろ、生態系が維持されるなら、弱いやつはどんどん消えてくれまである。
Re: (スコア:0)
うーん、昔話されても最近の風潮には関係ないかな
今はどちらかというと感染するのは仕方ないからと感染防止より感染後の拡大防止の方に注力してたりするし
Re: (スコア:0)
本当に項目的に増えていないと言えるのだろうか?
人気が出たので開発モチベーションが増えた結果、バグも増えた可能性もあるのじゃ?
開発がチンタラしていれば、バグの件数が増えることもまた少ないわけだし。
デマタイトル (スコア:0)
> 人気オープンソースプロジェクトの脆弱性を探す目の数、1年で倍増
レポートのどこに書いてあんだよw
Re: (スコア:0)
コモンセンス
スラドの利用者が入れ替わったと実感する。
Re: (スコア:0)
目が倍増すれば発見数も倍増すると思っちゃうそのピュア(笑)なセンスってさ、追加人員を倍投入すれば半分のスケジュールで出来るってのと同じセンスだよ
そんなセンスが昔はスラドでもあったの?
入れ替わって良かったw
Re: (スコア:0)
碌な根拠もなく「自分はそう思う」程度で他人の行いを詐欺呼ばわりとは…
Re: (スコア:0)
新しい経験値を得られず今持ってるのも忘れていくだけのお爺様は大人しくしてろよw
Re: (スコア:0)
コロナで無職になった小僧の自己紹介かな
爺さんのチンコしゃぶらないと仕事もらえないもんなw
Re: (スコア:0)
小僧にちんこしゃぶらせるのがご趣味で?w
こっちでもボコボコにされて可哀想だね
https://srad.jp/comment/3830473 [srad.jp]
Re: (スコア:0)
またマイナスモデ自慢して逃げまわってんの?
Re: (スコア:0)
> またマイナスモデ自慢して逃げまわってんの?
マイナスモデはネット工作(笑)
そのリンク先見るば(たぶん)三人に突っ込まれて逃げ回ってるのは自分だとバレちゃうのにね
Re: (スコア:0)
惜しい。改善比率は新機能の追加数も考慮に入れないと。
がんがん new feature 入れてバグが増えるのは分る(いい意味ではない)が、
issue のみで2倍増加はプロジェクトメンバーがヤバイ。もしくは何か技術的トラブルを抱えてる。
#産業スパイが入り込んでいる場合も微レ存
DevOpsの流行で増えた影響もありそう (スコア:0)
DevOpsが流行ってツール類が増えた影響あるかも?
導入する時は確認するけど、その後放置だと危険性が増えるんだよね
管理者権限使って操作する必要あるものだったが、デーモンで動き続けてるの気付いてちょっと怖くなったことあったな
C言語増加 (スコア:0)
つい、次のストーリー [developers.srad.jp]でCが増えてるってあったのが関係してるかも、と思ってしまった。
別にCが即悪者ってわけじゃないだろうけど、ちゃんと書ける人じゃないと簡単に酷いことになる言語だし。
Linux、WordPress、Drupal (スコア:0)
Drupalが日本でマイナーなだけで、世界的には使われていることを差し引いても、この並びは何か作為的では?
Re: (スコア:0)
あとの40人は実験に不誠実なので除外しました!
Re: (スコア:0)
M$謹製のOSSは…