Fossbytesは10月7日(米国時間)、「Copying Codes From Stack Overflow Leads To Vulnerable GitHub Projects」において、人気の高いQ&Aサイトである「Stack Overflow」に掲載されているサンプルコードをコピー&ペーストすることが原因で脆弱な状態のソースコードを含んたソフトウェアがGitHubに多数存在していると伝えた。

詳しい情報は次の論文にまとまっている。

  • [1910.01321] An Empirical Study of C++ Vulnerabilities in Crowd-Sourced Code Examples

    [1910.01321] An Empirical Study of C++ Vulnerabilities in Crowd-Sourced Code Examples

研究者はStack Overflowに投稿された1325件のポストから7万2000を超えるC++のソースコードの断片(コードスニペット)を分析。その結果、29の異なるタイプの69個の脆弱なコードスニペットを発見したとしている。

この脆弱なコードの断片はGitHubの2589個のリポジトリに含まれていたとされており、Stack Overflowに掲載されているコードの断片の多くがそのままGitHubでホスティングされているプロジェクトにコピーして使われていることが示されている。

Fossbytesは、Stack OverflowはQ&Aサイトであり、このサイトにコードの断片を掲載する開発者の中にはソースコードのセキュリティを十分に理解していない場合があると説明。このため、Stack Overflowに掲載されているソースコードをそのまま使用するのは賢明とは言えないと指摘している。

しかし、Stack Overflowは開発者にとって便利な情報源として利用されており、ソースコードのコピー&ペーストをやめることは簡単ではないだろうとも述べている。