パスワードを忘れた? アカウント作成
15708842 story
オープンソース

オープンソースプロジェクトの脆弱性修正にかかる時間が 3 年間で倍以上に増加したとの調査結果 15

ストーリー by nagazou
大幅増 部門より
headless 曰く、

Snyk が Linux Foundation の協力によりまとめた報告書「State of Open Source Security 2022」によると、オープンソースパッケージの依存関係によりソフトウェアサプライチェーンの複雑さが増し、脆弱性の修正にかかる時間が長くなる傾向がみられるそうだ(プレスリリースBetaNews の記事)。

オープンソースパッケージは現代的なアプリケーションで重要な要素となっており、開発者は数多くのオープンソースパッケージをプロジェクトで使用する。プロジェクトごとの直接的な依存関係は平均 80、最も多い JavaScript プロジェクトでは平均 174 まで増加する。依存関係は直接的なものだけでなく、推移的 (間接的) な依存関係もある。推移的依存関係は見えないリスクを生むだけでなく、修正も困難だ。脆弱性全体の 40 % が推移的依存関係で見つかっており、プロジェクトごとの平均的な脆弱性の数 49 に対し、18 ~ 20 が推移的依存関係から発生することになる。

その一方でオープンソースソフトウェア (OSS) の開発・利用に関するセキュリティポリシーを確立している組織は 49 %。組織内の OSS のセキュリティを信頼していないという回答は 41 % にのぼる。ただし、72% は 2022 年末までにある程度以上のセキュリティを確保できると回答しているという。オープンソースプロジェクトで脆弱性が修正されるまでの (平均) 時間は 2018 年の 49 日間から 2021 年には 110 日間まで増加しており、プロプライエタリプロジェクトよりも 18.75 % 長い時間を要するとのことだ。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2022年06月24日 2時35分 (#4275845)

    直す気すらないプロジェクトが増える一方

    • by Anonymous Coward

      IT企業が採用条件にOSS活動とか書くからな。
      採用されたらやる意義がなくなる。時間もなくなるし。

  • by Anonymous Coward on 2022年06月24日 2時53分 (#4275846)

    企業が使っている場合とか
    フリーライドしないでパッチ送ればいい

    • by Anonymous Coward

      脆弱性を見つけた企業・人間にそれを直す義務は無いし直す能力があるとは限らない

      • by Anonymous Coward

        利用者は公開する義務もないしね。

        • by Anonymous Coward

          おまえにAGPLをお見舞いしてやる

    • by Anonymous Coward

      その分ただでティシュ配ったり色々やってるだろ。

    • by Anonymous Coward

      何回か送ったがいずれもいれてくれたな(いずれもセキュリティ関係ではなくバグフィックス
      一つだけ半年以上かかったか

    • by Anonymous Coward

      やだよ。
      最新版で起こるかどうか確認するのが面倒。
      起こったとしても、最新版向けにパッチ作り直すのも面倒。
      パッチ投げるのも面倒。

      ここバグってんぞって言うだけですむぐらい手軽じゃないと、やる気起こらん。

      • by Anonymous Coward

        粘着質なメンテナーが幅を利かせていて、PRを投げようという気にもなれない
        forkするとそっちにも口出ししてくる…

        # よくあるマイナーOSS末期...

  • by Anonymous Coward on 2022年06月24日 8時33分 (#4275905)

    https://mag.osdn.jp/22/02/15/171500 [mag.osdn.jp]

    この記事と印象がまったく異なりますね。

  • by Anonymous Coward on 2022年06月25日 11時12分 (#4276814)

    どこかよく分からない企業に買収されて
    実用性が皆無になったからね
    脆弱性を修正しようにも、あれこれと面倒くさい事ばかり

    • by Anonymous Coward

      何処がダメになったのか具体的に言ってみろよ

typodupeerror

犯人は巨人ファンでA型で眼鏡をかけている -- あるハッカー

読み込み中...