RiskSenseはこのほど、「Open Source Spotlight Report」において、50のオープンソース・ソフトウェア(OSS)・プロジェクトを調査した結果を公表した。脆弱性について調査が行われており、OSSが組織にとってリスクになりつつあると指摘している。
報告書の主なポイントは次のとおり。
- OSSにおいて発見される脆弱性の数が歴史的なペースで増加している。
- OSSの脆弱性情報がNVDに登録されるのが遅い。深刻度が緊急なものほど遅れる傾向が見られる。
- 脆弱性は開発、テスト、オーケストレーション、コンテナ、ワークロードなどすべてのフェーズに存在している。
OSSはソフトウェア開発において重要な役割を担っている。特にライブラリは多くのソフトウェアで使用されており、こうしたライブラリに重大な脆弱性が存在した場合、影響を受けるソフトウェアの数と範囲が膨大になる危険性がある。
RiskSenseは特に脆弱性情報がNVDに登録される遅さのリスクを指摘している。つまり、深刻度が緊急や重大に分類される脆弱性を抱えたソフトウェアが数カ月間放置されることになり、攻撃を受ける機会につながっている可能性がある。ソフトウェア開発においてOSSの重要度は増しており、脆弱性に関して情報収集と迅速な対応を実施していくことが望まれる。