ソフトウェア部品表の整備が急務–シノプシスが脆弱性検査動向を発表

今回は「ソフトウェア部品表の整備が急務–シノプシスが脆弱性検査動向を発表」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 日本シノプシスは1月25日、2022年に実施した2700件のソフトウェアのセキュリティテストについて結果の動向を発表した。対象アプリケーションの95%で脆弱(ぜいじゃく)性が検出されたと報告している。

 テスト対象の内訳は、82%がウェブアプリケーションおよびシステム、13%がモバイルアプリケーション、残りはソースコードやネットワークシステム/アプリケーションになる。ペネトレーション(疑似侵入)テストや動的なアプリケーションセキュリティテスト(DAST)、モバイルアプリケーションセキュリティテスト(MAST)などの方法で、これらのアプリケーション検査を4300回以上実施したという。

 これによると、調査対象の95%で何らかの脆弱性が検出(前年調査から2%減)され、そのうち20%(同10%減)は高リスク、4.5%(同1.5%減)は緊急リスクに分類されるものだった。72%が低/中程度リスクに分類されるものだったが、同社は、「低リスクの脆弱性でも攻撃の糸口に悪用される可能性がある」と指摘。例えば、ペネトレーションテスト対象の42%、DAST対象の49%からサーバー名やタイプ、バージョン番号などのサーバーバナーが検出され、こうした情報がサイバー攻撃者に悪用されかねないとした。

 また、脆弱性の内容では、アプリケーションとサーバーの設定ミスが全体の18%(同3%減)を占めた。また調査対象の78%で、Open Web Application Security Project(OWASP)が指摘するウェブアプリケーションの脆弱性の上位10種に該当するものが検出された。対象の22%からクロスサイトスクリプティング(XSS)の脆弱性が検出されたが、前年調査から6%減少し、「本番アプリケーションに潜在するXSS脆弱性を最小化するための対策に、企業や団体が積極的に取り組んでいる様子がうかがえる」(同社)という。

 さらにペネトレーションテストの結果では、対象の21%で脆弱なサードパーティーライブラリーの使用が見つかり、前年調査から3%増加した。

 同社は、ほとんどの企業や団体で独自開発コード、入手が容易な商用オフザシェルフコード、オープンソースコンポーネントを組み合わせて販売目的あるいは社内使用のソフトウェアが開発されているとし、こうした組織の多くが、ソフトウェアに組み込まれているコンポーネントのライセンスやバージョン、パッチのステータスなどの詳細を正確に記した目録を正式な形で作成していないか、目録自体を作成すらしていないと警鐘を鳴らす。

 こうした組織では、数百あるいは数千ものサードパーティーコンポーネントやオープンソースコンポーネントが組み込まれていることが多く、「コンポーネントの状態を効果的に追跡するためには、正確かつ最新のソフトウェア部品表(SBOM)の整備が急務だ」(同社)と指摘している。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
重力制御装置やロボットで中枢神経系疾患の完治を目指すスペース・バイオ・ラボラトリーズが約1億円調達
ヘルステック
2021-08-19 12:41
量子技術とAIのSandbox AQ、Alphabetからスピンオフ–シュミット氏ら出資
IT関連
2022-03-24 12:08
原因不明でテストが失敗する「フレイキーテスト」問題/GitHubの使い方を学ぶ「GitHub Skills」/パスワードレスの時代にパスワードマネージャの存在意義、ほか。2022年6月の人気記事
編集後記
2022-07-01 23:20
SAP、福井大学など産学官民連携で地域課題解決への取り組みを開始
IT関連
2021-05-12 01:02
シンガポールでのランサムウェア攻撃増加–今後IoTが標的になるリスクも
IT関連
2022-09-01 14:10
関空に自動PCR検査ロボット 川崎重工、今夏ごろ稼働
IT関連
2021-05-22 16:59
モバイルSuica、リニューアル後に不具合 定期券登録などでエラー、原因はアクセス集中
企業・業界動向
2021-03-23 21:41
MS、「DALL-E 2」採用のデザインアプリ「Microsoft Designer」などを発表
IT関連
2022-10-14 03:01
マイクロソフト、「Project Reunion 0.5」をリリース
IT関連
2021-03-31 14:45
ソフトバンク、メイン・サブブランド間の乗り換え手続きを簡素化 SIMロック解除も自動で
企業・業界動向
2021-08-11 20:51
セールスフォースSVPに聞く–「Einstein Automate」、AIと自動化の可能性(後編)
IT関連
2021-03-15 09:14
F5のBIG-IPなどに複数の脆弱性–早期対応を
IT関連
2021-03-23 14:07
Firefly Aerospaceの月着陸船は2023年にSpaceXのFalcon 9で月へ
宇宙
2021-05-22 05:10
Snowflake、Python対応やアプリ開発を強化–トランザクション処理に対応する「Unistore」も追加
IT関連
2022-06-16 02:03