OSSを信頼すると同時に検証せよ 37
ストーリー by nagazou
維持するのは大変 部門より
維持するのは大変 部門より
日本シノプシスは14日、研究機関「Cybersecurity Research Center(CyRC)」が、企業の合併・買収の際に棚卸しした1703のソフトウェアを対象に匿名化したデータを分析したオープンソース·セキュリティ&リスク分析レポートに関する説明会を開催した(オープンソース·セキュリティ&リスク分析レポート、ZDNET Japan、IT Leaders)。
この分析によると、リスク診断を実施した1480のコード中、既知の脆弱性を一つ以上含んでいた割合は84%あったという。これは昨年比で4%の上昇だったそうだ。また、4年以上前のコードを含む割合は89%(こちらは昨年比4%上昇)だった。また、CyRCが2022年中に調査した企業が使用するソフトウェア1703本中、OSS(オープンソースソフトウェア)を含む割合は96%におよび、全コードにOSSが占める割合は76%だった。脆弱性を含むOSSの割合は84%で、ライセンスの競合が見つかったOSSは54%など増加傾向にあるとされる。
日本シノプシスの吉井雅人氏は「OSSを信頼すると同時に検証せよ。OSSのセキュリティはビジネスリスクに直結する。自らの責任でセキュリティを確保すべきだ。SBOM(ソフトウェア部品表)によるコンポーネントの可視化」が重要だと述べていたとのこと。
この分析によると、リスク診断を実施した1480のコード中、既知の脆弱性を一つ以上含んでいた割合は84%あったという。これは昨年比で4%の上昇だったそうだ。また、4年以上前のコードを含む割合は89%(こちらは昨年比4%上昇)だった。また、CyRCが2022年中に調査した企業が使用するソフトウェア1703本中、OSS(オープンソースソフトウェア)を含む割合は96%におよび、全コードにOSSが占める割合は76%だった。脆弱性を含むOSSの割合は84%で、ライセンスの競合が見つかったOSSは54%など増加傾向にあるとされる。
日本シノプシスの吉井雅人氏は「OSSを信頼すると同時に検証せよ。OSSのセキュリティはビジネスリスクに直結する。自らの責任でセキュリティを確保すべきだ。SBOM(ソフトウェア部品表)によるコンポーネントの可視化」が重要だと述べていたとのこと。
今後の潮流 (スコア:1)
「OSSのライセンス面倒だしAIにコーディングさせよう」(検証とか考えてない)
Twitterとか見てるとそんな空気。
Re: (スコア:0)
Twitterは大げさ(声が大きい)意見が拡大・拡散されるのでそう見えるだけでしょう
AIコーディングはマニュアルに書いてあること、サンプルコードがどこかにある事は得意ですが、それ以外はGPT-4でもまだ壊滅的です
Re: (スコア:0)
ドキュメントはおろかコメントすらめんどくさがるプログラマーが、プロンプトを駆使して指示を出すというのがまず現実的でない。
なんかこうコード書いてるだけでいい感じに予測して候補を出してくれないものか。
Re:今後の潮流 (スコア:1)
VisualStudioはそうなってる。
書いてると「こういう今どきの書き方があるよ」ってお知らせしてくれてショートカットキーで適用できる。
Re: (スコア:0)
あと〇〇.open()とか書くと〇〇.close()を提示してきたりするな。
Re: (スコア:0)
これからのプログラマ、いや人類に必要なのは、AIに的確に指示を伝えるためのコミュ力(国語?)だなw
Re: (スコア:0)
プログラミング「言語」すらマトモに扱えんのにソレ(国語)ができるとでも?w
するわけねーじゃん (スコア:0, おもしろおかしい)
あほか
Re: (スコア:0)
ですよねー。
ところでウチは「アプリケーション・セキュリティおよび品質解析」なんてサービスやってるんですけど、いかがですか?
https://www.synopsys.com/ja-jp/software-integrity/security-testing.html [synopsys.com]
Re: (スコア:0)
やるわけねーじゃん、あほか
Re: (スコア:0)
するわけねーは信頼と検証どっちに係ってるの?
Re: (スコア:0)
両方では。
Re: (スコア:0)
まれによくある理想と現実というやつ!?
4年以上前のコードを含む割合 (スコア:0)
これは何を含意した調査なの?
「古い枯れたコードで安心だ」?
「4年もほったらかしだ」?
Re: (スコア:0)
やべー、10年以上放置しちまった
Re: (スコア:0)
みんな更新してしまって世間ではもう使われていない古いコードを枯れたコードって言わない。
検証だけでなく (スコア:0)
顕彰や懸賞もお願いします
Re:邪悪なM$製品は危険(笑) (スコア:1)
OSSは「誰か」が検証しているはずだ、という前提があるから信用できるということになっている。
が、「誰も……消防車を呼んでいないのである!!!」くらい見たことあるよねー。
Re:邪悪なM$製品は危険(笑) (スコア:1)
誰かが安全を検証しているはずだ→実は検証が十分じゃなくて問題おこりました、までは確かにあることだと考えます
ただ、自分はOSSのメリットは、問題が起こったときにそこでそれを検証できることにあると思うのですが、どうでしょうか
問題が起こったときソースを手元で参照でき、なんならデバッガやログを仕込んでの再現&修正ができるというのはOSSならでは安心感だと思います
MS製品にかぎらずクローズドソースで問題が起こった場合はユーザーではどうしようもできずアドホックな対応を強いられることがあります
#まさに今そんな「変なアウトプットが出るのはどうしようもないから出口でおさえろ」的な不具合対応をしているので、、
Re: (スコア:0)
「自分で」検証できるから安心、なのでは?
「誰か」を手放しで信用するならプロプラで良い
Re: (スコア:0)
実際にはやってないことを持ち出して比較してもなぁ。
APIの挙動を確かめるためにコード読んだりはするけど、脆弱性なんて自分で検証なんてしないし
誰かを手放しで信用もしないから、契約で縛るんじゃねーの?
Re: (スコア:0)
今回一斉に使用された「個人保有のモデ垢」はBANしてもいいんじゃないか?
Re: (スコア:0)
OSSもボランティアが趣味でやってて、コード量も少なくて悪意を仕込んでも誰かの目で気付ける規模では正解だったんだろう。
大規模で複雑になり、かつ悪意を仕込むことが経済利益に直結する現在では両手を挙げて信用するのは無理だ…
Re: (スコア:0)
確かに内容として脱線ネタではあるけど、物凄い勢いでマイナスモデレートされまくっている事に恐怖する。
スラドってM$界隈だけで食べているパルマー信者的な人って結構いるの?
Re: (スコア:0)
これ、たぶん一人でやったんだと思いますよ
Re: (スコア:0)
このおじさん、毎回同じ事を書いていますよ。
M$界隈だけでしか仕事を出来ないおじさんは日本には結構います。
M$もOSSあるんですけどね。