ソフトウェア部品表の整備が急務–シノプシスが脆弱性検査動向を発表

今回は「ソフトウェア部品表の整備が急務–シノプシスが脆弱性検査動向を発表」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 日本シノプシスは1月25日、2022年に実施した2700件のソフトウェアのセキュリティテストについて結果の動向を発表した。対象アプリケーションの95%で脆弱(ぜいじゃく)性が検出されたと報告している。

 テスト対象の内訳は、82%がウェブアプリケーションおよびシステム、13%がモバイルアプリケーション、残りはソースコードやネットワークシステム/アプリケーションになる。ペネトレーション(疑似侵入)テストや動的なアプリケーションセキュリティテスト(DAST)、モバイルアプリケーションセキュリティテスト(MAST)などの方法で、これらのアプリケーション検査を4300回以上実施したという。

 これによると、調査対象の95%で何らかの脆弱性が検出(前年調査から2%減)され、そのうち20%(同10%減)は高リスク、4.5%(同1.5%減)は緊急リスクに分類されるものだった。72%が低/中程度リスクに分類されるものだったが、同社は、「低リスクの脆弱性でも攻撃の糸口に悪用される可能性がある」と指摘。例えば、ペネトレーションテスト対象の42%、DAST対象の49%からサーバー名やタイプ、バージョン番号などのサーバーバナーが検出され、こうした情報がサイバー攻撃者に悪用されかねないとした。

 また、脆弱性の内容では、アプリケーションとサーバーの設定ミスが全体の18%(同3%減)を占めた。また調査対象の78%で、Open Web Application Security Project(OWASP)が指摘するウェブアプリケーションの脆弱性の上位10種に該当するものが検出された。対象の22%からクロスサイトスクリプティング(XSS)の脆弱性が検出されたが、前年調査から6%減少し、「本番アプリケーションに潜在するXSS脆弱性を最小化するための対策に、企業や団体が積極的に取り組んでいる様子がうかがえる」(同社)という。

 さらにペネトレーションテストの結果では、対象の21%で脆弱なサードパーティーライブラリーの使用が見つかり、前年調査から3%増加した。

 同社は、ほとんどの企業や団体で独自開発コード、入手が容易な商用オフザシェルフコード、オープンソースコンポーネントを組み合わせて販売目的あるいは社内使用のソフトウェアが開発されているとし、こうした組織の多くが、ソフトウェアに組み込まれているコンポーネントのライセンスやバージョン、パッチのステータスなどの詳細を正確に記した目録を正式な形で作成していないか、目録自体を作成すらしていないと警鐘を鳴らす。

 こうした組織では、数百あるいは数千ものサードパーティーコンポーネントやオープンソースコンポーネントが組み込まれていることが多く、「コンポーネントの状態を効果的に追跡するためには、正確かつ最新のソフトウェア部品表(SBOM)の整備が急務だ」(同社)と指摘している。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
「Google認証システム」、コードをGoogleアカウントに保存可能に
IT関連
2023-04-26 16:39
メタバースの遍在化がビジネスの再創造を促す–アクセンチュアが4つの技術トレンドを定義
IT関連
2022-07-08 04:15
「Ubuntu」でファイアウォール用のGUIを追加するには
IT関連
2023-11-10 23:40
Snapが4年ぶりに最高の四半期を迎えた
ネットサービス
2021-07-25 16:39
オープンソースはAI分野の主役であるべきだ
IT関連
2023-10-05 08:43
家計簿をPDF印刷 Zaimに「ふりかえりプリント」機能
ライフ
2021-05-14 15:34
コニカミノルタジャパンがタレントマネジメントの先に見る会社のあり方
IT関連
2022-07-13 03:05
トラックから信号機が次々出てくる? 自動運転AIの画像認識結果が話題に 対策は?
ロボット・AI
2021-06-15 04:41
倉庫の“資産”を可視化–ゼブラ・テクノロジーズ、物流向け新製品を解説
IT関連
2024-06-12 06:18
アクセンチュア、ESG経営を支援するAIソリューションの提供開始を発表
IT関連
2022-08-03 00:51
OTとIoT向けのセキュリティSaaSを開始–ノゾミネットワークス
IT関連
2021-03-30 09:39
マネーフォワード、「マネーフォワード クラウド連結会計」提供–グループ企業のデータ収集を効率化
IT関連
2022-12-24 09:03
契約審査プラットフォーム「LegalForce」、自動レビュー機能がシステム保守契約に対応
IT関連
2023-03-02 05:15
“歩きスマートグラス”でビデオ会議 横顔の映像を正面顔にリアルタイム変換 :Innovative Tech
トップニュース
2021-02-03 09:45