The Hacker Newsは11月1日(米国時間)、「Last Years Open Source - Tomorrow's Vulnerabilities」において、オープンソースソフトウェア(OSS)の脆弱性について取り上げた。OSSの脆弱性は通常、オープンソースプロジェクトのメンテナ、ユーザー、監査人、または外部のセキュリティ研究者によって発見されているが、コミュニティはいまだに脆弱性を見つけるのに苦労しているという。
Debricked の R&D 責任者である Emil Wåreus 氏の調査によると、オープンソースプロジェクトにおいて、脆弱性を発見するのに平均800日以上かかることがわかったとのことだ。例えば、悪名高いLog4shell(CVE-2021-44228)の脆弱性は2649日間も発見されなかったという。
オープンソースプロジェクトの脆弱性の74%は、少なくとも1年間発見されていないことが分析によって確認されている。JavaおよびRubyにおいては、コミュニティが脆弱性を見つけて公開するまで1000日以上かかっており、PHP/Composerのコミュニティは、他のコミュニティよりもわずかに優れていることが判明している。
OSSの脆弱性を軽減する最良の方法として、システム開発ライフサイクル(SDLC: Systems Development Life Cycle)に継続的な脆弱性スキャンを実施することが勧められている。これにより、機械学習を利用した脆弱性データベースと組み合わせて、コードをプッシュするたびに自動的にスキャンすることで脆弱性を発見できるとしており、リアルタイムで更新されることで新たな脆弱性を素早く知ることができるようになると説明されている。
