セキュリティ企業の米Fortify Softwareは7月21日(米国時間)、オープンソースソフトウェアにおけるセキュリティを調査したレポート「Open Source Security Study」を発表した。オープンソースの採用が増加しているが、オープンソース開発プロセスにはセキュリティが組み込まれていないと警告している。
アプリケーションセキュリティコンサルタントと共同で、Javaオープンソースパッケージ11種のセキュリティについて調査した。オープンソースの保守担当者とやりとりし、オープンソースセキュリティ実践に関するドキュメントを調べた。また、手動および自社セキュリティスキャン技術を利用して、パッケージの複数のバージョンをスキャンした。
調査の結果、22828件のクロスサイトスクリプティング、15612件のSQLインジェクションなどの脆弱性が見つかった。またバージョンが上がっても脆弱性の数が減少していないパッケージがあることもわかった。
このようなことから同社では、オープンソース開発コミュニティは安全な開発プロセスを採用しておらず、危険な脆弱性が未対応になっていることが多い、という結論を出している。多くのコミュニティがセキュリティリスクを緩和するようなセキュリティ専門情報へのアクセスを提供していない、とも指摘している。
同社は企業や組織に対し、採用するオープンソースソフトウェアにリスクとコード分析を適用することを推奨している。また、開発コミュニティに対し、セキュリティに関する問題意識を高めること、企業セキュリティチームに対し、オープンソースの保守担当者に自社のセキュリティ要件を伝えること、セキュリティの見地から自社オープンソースの実装を評価することなどをアドバイスしている。
米Fortify Software
http://www.fortify.com