[講演資料提供] OSS脆弱性の"裏事情" - OpenSSL等の脆弱性はなぜ収束しないのか?

[2016/04/14 08:00] ブックマーク ブックマーク

セキュリティ

オングス代表取締役、BSDコンサルティング取締役の後藤 大地氏。オープンソースOS「FreeBSD」のコミッターも務める

「目玉の数さえ十分にあれば、どんなバグも深刻ではない」――1999年に発行された著書『伽藍とバザール』に出てくる名言である。

最も成功を収めたOSSプロジェクトであるLinuxの開発を例に著者のEric S. Raymond氏が導き出し、多くの開発者から支持されてきた仮説だが、昨今のHeartbleed、ShellShock、Poodle、GHOST、FREAK、DROWNといった重大な脆弱性が報告されたことで、この考えが崩れ始めている。

特にOpenSSLに関しては、2014年4月のHeartbleed以降、ひっきりなしに脆弱性が報告されている。今年もわずか3ヶ月間ですでに2度も世間を騒がせている状況だ。

マイナーなアプリケーションならともかく、広く普及しかつセキュリティの基盤を担うソフトウェアでこうした脆弱性が見逃されてきたのはなぜなのか。

3月30日に開催したマイナビニュース・スペシャルセミナー『OSS重大セキュリティホールの”裏事情”』では、そうした問題の背景について、オープンソースOS「FreeBSD」のコミッターを務める後藤 大地氏が解説した。

講演では、OS内部の動作を把握し、OSSのコミュニティ活動についても良く知る後藤氏が、各重大脆弱性の内容をわかりやすく解説。さらに脆弱性が次から次へと発見される原因や、企業としての対策、さらには情報収集方法までも紹介した。

今回はその講演スライドを無料公開する。興味のある方は、本稿下部の「今すぐ資料をダウンロード」もしくは「ダウンロードBOXに入れる」ボタンからダウンロードしてほしい(要会員ログイン)。

講演資料は55ページ。OpenSSL、glibc、bash、SSL 3.0など、名だたるプロダクト/プロトコルの脆弱性を詳しく解説。脆弱性情報収集サイトも紹介しています。画像クリックで資料ダウンロード(要会員ログイン)

なお、講演の模様をまとめたPDF形式のレポートも別途無料配布している。興味のある方はこちらの記事からダウンロードしてほしい。

関連リンク

1350
2
[講演資料提供] OSS脆弱性の"裏事情" - OpenSSL等の脆弱性はなぜ収束しないのか?
2016-04-21 15:38:02
3月30日に開催したマイナビニュース・スペシャルセミナー『OSS重大セキュリティホールの"裏事情"』の講演資料を無料でダウンロードしていただけます。OpenSSLをはじめとする重要プロダクトになぜ脆弱性がなくならないのか。開発コミュニティ側から解説しています。
https://news.mynavi.jp/itsearch/2016/04/13/oss/index.top.jpg
3月30日に開催したマイナビニュース・スペシャルセミナー『OSS重大セキュリティホールの"裏事情"』の講演資料を無料でダウンロードしていただけます。OpenSSLをはじめとする重要プロダクトになぜ脆弱性がなくならないのか。開発コミュニティ側から解説しています。

会員新規登録

初めてご利用の方はこちら

会員登録(無料)

マイナビニュース スペシャルセミナー 講演レポート/当日講演資料 まとめ
人事・経理・総務で役立つ! バックオフィス系ソリューション&解説/事例記事まとめ

一覧はこちら

今注目のIT用語の意味を事典でチェック!

一覧はこちら

ページの先頭に戻る