Core Infrastructure Initiative(CII)、フリー・オープンソースコンポーネントのセキュリティに関するレポートを発表
Core Infrastructure Initiative(CII)は2月18日(現地時間)、フリー・オープンソースコンポーネントのセキュリティに関するレポートを発表した。
CIIは、2014年に明らかとなったOpenSSLの脆弱性「Heartbleed」問題の発生が契機となってLinux Foundationが主導で立ち上げたプロジェクト。CIIは今回、ハーバード大学のLaboratory for Innovation Science at Harvardと共同で、広く利用されているフリー・オープンソースコンポーネントの調査を行い、「Vulnerabilities in the Core」というレポートにまとめた。
調査は分析団体やセキュリティ企業などと協力し、よく使われているオープンソースソフトウェアプロジェクトを200以上割り出し、そのうち20のプロジェクトについて、週毎のコミット数や追加されたコードを調査した。20のプロジェクトは、依存性解析により割り出された「async、inherits、isarray、kind-of、lodash、minimist、natives、qs、readable-stream、string_decoder」と、JavaScript以外のフリー・オープンソースソフトウェアパッケージ「com.fasterxml.jackson.core:jackson-core、com.fasterxml.jackson.core:jackson-databind、com.google.guava:guava、commons-codec、commons-i、httpcomponents-client、httpcomponents-core、logback-core、org.apache.commons:commons-lang3、slf4j」の2種類に大別されている。JavaScriptパッケージはどのランキングでも上位を独占しているため、JavaScriptは選別外としたという。
調査結果から、1)標準化されたスキーマ名の必要性、2)セキュリティにおける個人開発者の重要性、3)オープンソースにおけるレガシーソフトウェアの存在などが挙げられている。
(川原 龍人/びぎねっと)
[関連リンク]
レポート本文
その他のニュース
- 2024/11/21 Arch Linuxのメニューベースのインストーラ「archinstall 3.0」リリース
- 2024/11/21 「LibreOffice 24.8.3 Community」リリース
- 2024/11/21 Fortinet、悪意のあるMicrosoft Excelドキュメントを利用したフィッシングキャンペーンについて注意喚起を発表
- 2024/11/19 「AlmaLinux OS 9.5」リリース
- 2024/11/18 Linuxカーネル「Linux 6.12」リリース
Think ITメルマガ会員登録受付中
全文検索エンジンによるおすすめ記事
- OpenSSFを拡大・支援するため1,000万ドルの新規投資を調達、「The 2021 Open Source Jobs Report」を公開、ほか
- 米Red Hatがセキュリティを強化した「RHEL 6.7」を公開、米Googleが「Chrome 44」をリリース、ほか
- Open Source Leadership Summit開催、変化に対応し持続するために何をするべきか?
- Google Cloudの開発責任者が語るKubernetesの成功の秘訣
- GitHub、ベルリンで発表した新機能などを解説するメディア説明会を開催
- 米Dockerなどがコンテナ標準化団体「OCP」を発足、米IBMがDockerベースのコンテナサービスをリリース、ほか
- グーグルとインテル、戦略的提携を発表 法人向けクラウド市場拡大を志向、ほか
- Linux Foundationのジム・ゼムリン、OSSの次のハードルはセキュリティとエンジニアの収入?
- Open Source Leadership Summit開催。ディレクターのJim Zemlinがキーノートを講演
- CEOが語る「Linuxのレッドハット」からの転換、HivemallがASFの育成プロジェクトに認定、ほか