パスワードを忘れた? アカウント作成
14207653 story
バグ

人気オープンソースプロジェクトの脆弱性、1年で倍増 44

ストーリー by hylom
出ることよりも対応の遅れの方が問題か 部門より

taraiok曰く、

人気の高いオープンソースプロジェクトの上位54本を分析した結果、セキュリティの脆弱性が1年で2倍に増えていたことが判明した。2018年に報告されたバグは421個であったのに対して、2019年には968個に倍増していたという。RiskSenseの「The Dark Reality of Open Source」レポートによれば、2015年から2020年3月の間で人気オープンソースプロジェクトで2,694個のバグが発見されたとしている(ZDNetSlashdot)。

Linux、WordPress、Drupalといった超人気プロジェクトに関しては、セキュリティバグがニュースとして報じられるため、このレポート内には含まれていないという。RiskSenseのレポートには、Jenkins、MongoDB、Elasticsearch、Chef、GitLab、Spark、Puppetといった、一般的な知名度は高くないがテクノロジーおよびソフトウェアコミュニティで広く利用されているプロジェクトを対象としている。

今回の調査で同社は、多数のセキュリティバグが公開されてから数週間が経過した後で脆弱性データベースNational Vulnerability Database(NVD)に報告されたことを問題視している。54のプロジェクトで発見されたバグに関しては、NVDに報告されるまでに平均で約54日を必要とした。PostgreSQLではPostgreSQLでは8か月に及ぶ報告の遅れが見られたとしている。こうしたレポートの遅延により、企業が攻撃にさらされたままになっている状況が発生していたとしている。

  • by Anonymous Coward on 2020年06月11日 8時08分 (#3831108)

    RiskSenseの「The Dark Reality of Open Source」レポート
    https://info.risksense.com/open-source-spotlight-report-bl [risksense.com]

    同社による解説ブログ
    https://risksense.com/blog/is-open-source-your-risk-based-blind-spot/ [risksense.com]

    ここに返信
  • by Anonymous Coward on 2020年06月11日 8時16分 (#3831110)

    × 人気オープンソースプロジェクトの脆弱性、1年で倍増
    〇 人気オープンソースプロジェクトの脆弱性を探す目の数、1年で倍増

    ここに返信
    • by Anonymous Coward on 2020年06月11日 8時18分 (#3831113)

      去年まではみんな片目で探してたんですね。

      • by Anonymous Coward

        片目どころか…なかった事にするのは穏当な方で…だからなぁ。

      • by Anonymous Coward

        いくつかの目はガラスだったのかもしれない

    • by Anonymous Coward

      目の数が2倍になっただけで脆弱性が2倍見つかるなんてなんて低品質……

    • by Anonymous Coward

      目玉の数さえ十分あれば、すべてのバグは深刻ではない

      ――リーナスの法則

    • by Anonymous Coward

      目の数が増えたというよりもFuzzingツールが進化して脆弱性が発見されやすくなったという印象ですね。
      例えば最近だとFIFUZZ [usenix.org]というエラーハンドリングコードを重点的にFuzzingするツールが登場してOSSプロジェクトの脆弱性が大量に発見されました。

    • by Anonymous Coward

      バグに限らず、ウイルス検知なんかもさ、検知したら悪みたいな風潮はあるよね。

      もうかなり昔の話にはなるけど、隣の部署の人がとある軍事関連企業にシステム納めにいってた時に聞いた話。そこの社内で Form (当時流行ったウイルス) が検知されたらしいんだけど、その検知された端末の所有者が懲戒解雇になったって言ってた。

      • by Anonymous Coward

        例えば、会社のパソコンで業務と関係無いサイトを閲覧して、そこで感染したマルウェアを社内に広めたりしたら、普通はその社員に厳しい処分が下ると思うよ。

        > バグに限らず、ウイルス検知なんかもさ、検知したら悪みたいな風潮はあるよね。
        でも、これは何だか色々と怖い職場だねえ。

      • by Anonymous Coward

        隠しちゃうから良くないのはあるかもしれないが、お咎めなしだとルールなんか守らないよ?
        経緯をヒアリングして決めればよいのでは。
        そもそもユーザは隠すものという前提で動いてるから報告ルールが守られるなんて思ってないし、実際そう。
        システマチックに、検出したらアラートが上がるようになってる。

        • by Anonymous Coward

          検知は悪じゃないよねって事だと思う。
          直接の非が無く発生したウイルス検知に対して、無意味な叱責で空気を悪くするのは阿呆の仕事。
          ルール違反にはお咎めは要るだろうけど、それとて行為に応じた戦略的な譴責が望ましい。

          不用意に脅しをかけて従業員が適切な情報を提供しなくなれば、やはり問題解決の障害になるから。

          • by Anonymous Coward

            完成された職場においては、空気がどうなろうと関係がない。システムが維持されるかどうか。
            むしろ、システムが維持されるなら、弱いやつはどんどん消えてくれまである。

            • by Anonymous Coward

              なんか人間とか要らなそうな職場ね。

              • by Anonymous Coward

                全機械化・IT化・AI化で問題ない。オーナーが潤うなら、フル アウトソースですら問題ない。

            • by Anonymous Coward

              完成された地球においては、空気がどうなろうと関係がない。生態系が維持されるかどうか。
              むしろ、生態系が維持されるなら、弱いやつはどんどん消えてくれまである。

      • by Anonymous Coward

        うーん、昔話されても最近の風潮には関係ないかな

        今はどちらかというと感染するのは仕方ないからと感染防止より感染後の拡大防止の方に注力してたりするし

    • by Anonymous Coward

      本当に項目的に増えていないと言えるのだろうか?
      人気が出たので開発モチベーションが増えた結果、バグも増えた可能性もあるのじゃ?

      開発がチンタラしていれば、バグの件数が増えることもまた少ないわけだし。

    • by Anonymous Coward

      > 人気オープンソースプロジェクトの脆弱性を探す目の数、1年で倍増

      レポートのどこに書いてあんだよw

      • by Anonymous Coward

        コモンセンス

        スラドの利用者が入れ替わったと実感する。

        • by Anonymous Coward

          目が倍増すれば発見数も倍増すると思っちゃうそのピュア(笑)なセンスってさ、追加人員を倍投入すれば半分のスケジュールで出来るってのと同じセンスだよ
          そんなセンスが昔はスラドでもあったの?
          入れ替わって良かったw

        • by Anonymous Coward

          碌な根拠もなく「自分はそう思う」程度で他人の行いを詐欺呼ばわりとは…

    • by Anonymous Coward

      惜しい。改善比率は新機能の追加数も考慮に入れないと。
      がんがん new feature 入れてバグが増えるのは分る(いい意味ではない)が、
      issue のみで2倍増加はプロジェクトメンバーがヤバイ。もしくは何か技術的トラブルを抱えてる。

      #産業スパイが入り込んでいる場合も微レ存

  • by Anonymous Coward on 2020年06月11日 15時06分 (#3831355)

    DevOpsが流行ってツール類が増えた影響あるかも?

    導入する時は確認するけど、その後放置だと危険性が増えるんだよね
    管理者権限使って操作する必要あるものだったが、デーモンで動き続けてるの気付いてちょっと怖くなったことあったな

    ここに返信
  • by Anonymous Coward on 2020年06月11日 19時05分 (#3831531)

    つい、次のストーリー [developers.srad.jp]でCが増えてるってあったのが関係してるかも、と思ってしまった。
    別にCが即悪者ってわけじゃないだろうけど、ちゃんと書ける人じゃないと簡単に酷いことになる言語だし。

    ここに返信
  • by Anonymous Coward on 2020年06月11日 21時36分 (#3831618)

    Drupalが日本でマイナーなだけで、世界的には使われていることを差し引いても、この並びは何か作為的では?

    ここに返信
    • by Anonymous Coward

      あとの40人は実験に不誠実なので除外しました!

typodupeerror

「毎々お世話になっております。仕様書を頂きたく。」「拝承」 -- ある会社の日常

読み込み中...