Core Infrastructure Initiative(CII)、フリー・オープンソースコンポーネントのセキュリティに関するレポートを発表

2020年2月26日(水)

Core Infrastructure Initiative(CII)は2月18日(現地時間)、フリー・オープンソースコンポーネントのセキュリティに関するレポートを発表した。

 CIIは、2014年に明らかとなったOpenSSLの脆弱性「Heartbleed」問題の発生が契機となってLinux Foundationが主導で立ち上げたプロジェクト。CIIは今回、ハーバード大学のLaboratory for Innovation Science at Harvardと共同で、広く利用されているフリー・オープンソースコンポーネントの調査を行い、「Vulnerabilities in the Core」というレポートにまとめた。

 調査は分析団体やセキュリティ企業などと協力し、よく使われているオープンソースソフトウェアプロジェクトを200以上割り出し、そのうち20のプロジェクトについて、週毎のコミット数や追加されたコードを調査した。20のプロジェクトは、依存性解析により割り出された「async、inherits、isarray、kind-of、lodash、minimist、natives、qs、readable-stream、string_decoder」と、JavaScript以外のフリー・オープンソースソフトウェアパッケージ「com.fasterxml.jackson.core:jackson-core、com.fasterxml.jackson.core:jackson-databind、com.google.guava:guava、commons-codec、commons-i、httpcomponents-client、httpcomponents-core、logback-core、org.apache.commons:commons-lang3、slf4j」の2種類に大別されている。JavaScriptパッケージはどのランキングでも上位を独占しているため、JavaScriptは選別外としたという。

 調査結果から、1)標準化されたスキーマ名の必要性、2)セキュリティにおける個人開発者の重要性、3)オープンソースにおけるレガシーソフトウェアの存在などが挙げられている。

(川原 龍人/びぎねっと)

[関連リンク]
レポート本文

※本ニュース記事はびぎねっとITニュースから提供を受けて配信しています。
転載元はこちらをご覧ください。

Think ITメルマガ会員登録受付中

Think ITでは、技術情報が詰まったメールマガジン「Think IT Weekly」の配信サービスを提供しています。メルマガ会員登録を済ませれば、メルマガだけでなく、さまざまな限定特典を入手できるようになります。

Think ITメルマガ会員のサービス内容を見る