セキュリティ情報
Core Infrastructure Initiative(CII)、フリー・オープンソースコンポーネントのセキュリティに関するレポートを発表
Core Infrastructure Initiative(CII)は2月18日(現地時間)、フリー・オープンソースコンポーネントのセキュリティに関するレポートを発表した。
CIIは、2014年に明らかとなったOpenSSLの脆弱性「Heartbleed」問題の発生が契機となってLinux Foundationが主導で立ち上げたプロジェクト。CIIは今回、ハーバード大学のLaboratory for Innovation Science at Harvardと共同で、広く利用されているフリー・オープンソースコンポーネントの調査を行い、「Vulnerabilities in the Core」というレポートにまとめた。
調査は分析団体やセキュリティ企業などと協力し、よく使われているオープンソースソフトウェアプロジェクトを200以上割り出し、そのうち20のプロジェクトについて、週毎のコミット数や追加されたコードを調査した。20のプロジェクトは、依存性解析により割り出された「async、inherits、isarray、kind-of、lodash、minimist、natives、qs、readable-stream、string_decoder」と、JavaScript以外のフリー・オープンソースソフトウェアパッケージ「com.fasterxml.jackson.core:jackson-core、com.fasterxml.jackson.core:jackson-databind、com.google.guava:guava、commons-codec、commons-i、httpcomponents-client、httpcomponents-core、logback-core、org.apache.commons:commons-lang3、slf4j」の2種類に大別されている。JavaScriptパッケージはどのランキングでも上位を独占しているため、JavaScriptは選別外としたという。
調査結果から、1)標準化されたスキーマ名の必要性、2)セキュリティにおける個人開発者の重要性、3)オープンソースにおけるレガシーソフトウェアの存在などが挙げられている。
(川原 龍人/びぎねっと)
[関連リンク]
レポート本文