ソフトウェア部品表の整備が急務–シノプシスが脆弱性検査動向を発表

今回は「ソフトウェア部品表の整備が急務–シノプシスが脆弱性検査動向を発表」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 日本シノプシスは1月25日、2022年に実施した2700件のソフトウェアのセキュリティテストについて結果の動向を発表した。対象アプリケーションの95%で脆弱(ぜいじゃく)性が検出されたと報告している。

 テスト対象の内訳は、82%がウェブアプリケーションおよびシステム、13%がモバイルアプリケーション、残りはソースコードやネットワークシステム/アプリケーションになる。ペネトレーション(疑似侵入)テストや動的なアプリケーションセキュリティテスト(DAST)、モバイルアプリケーションセキュリティテスト(MAST)などの方法で、これらのアプリケーション検査を4300回以上実施したという。

 これによると、調査対象の95%で何らかの脆弱性が検出(前年調査から2%減)され、そのうち20%(同10%減)は高リスク、4.5%(同1.5%減)は緊急リスクに分類されるものだった。72%が低/中程度リスクに分類されるものだったが、同社は、「低リスクの脆弱性でも攻撃の糸口に悪用される可能性がある」と指摘。例えば、ペネトレーションテスト対象の42%、DAST対象の49%からサーバー名やタイプ、バージョン番号などのサーバーバナーが検出され、こうした情報がサイバー攻撃者に悪用されかねないとした。

 また、脆弱性の内容では、アプリケーションとサーバーの設定ミスが全体の18%(同3%減)を占めた。また調査対象の78%で、Open Web Application Security Project(OWASP)が指摘するウェブアプリケーションの脆弱性の上位10種に該当するものが検出された。対象の22%からクロスサイトスクリプティング(XSS)の脆弱性が検出されたが、前年調査から6%減少し、「本番アプリケーションに潜在するXSS脆弱性を最小化するための対策に、企業や団体が積極的に取り組んでいる様子がうかがえる」(同社)という。

 さらにペネトレーションテストの結果では、対象の21%で脆弱なサードパーティーライブラリーの使用が見つかり、前年調査から3%増加した。

 同社は、ほとんどの企業や団体で独自開発コード、入手が容易な商用オフザシェルフコード、オープンソースコンポーネントを組み合わせて販売目的あるいは社内使用のソフトウェアが開発されているとし、こうした組織の多くが、ソフトウェアに組み込まれているコンポーネントのライセンスやバージョン、パッチのステータスなどの詳細を正確に記した目録を正式な形で作成していないか、目録自体を作成すらしていないと警鐘を鳴らす。

 こうした組織では、数百あるいは数千ものサードパーティーコンポーネントやオープンソースコンポーネントが組み込まれていることが多く、「コンポーネントの状態を効果的に追跡するためには、正確かつ最新のソフトウェア部品表(SBOM)の整備が急務だ」(同社)と指摘している。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
IIJ鈴木会長が入社式で語った「いい加減のススメ」とは
IT関連
2024-04-06 08:34
フィンテックUpgradeがビットコインリワード付きのクレジットカードを発行
フィンテック
2021-07-24 20:35
東芝デジタルソリューションズと三井住友海上、保険契約者向け雹災アラートを実証実験
IT関連
2023-06-29 06:24
Deno DeployでNode.jsアプリが実行可能に、Node.jsビルトインモジュールのサポートで
Deno
2023-06-05 14:01
「iPhone 15 Pro」で空間ビデオを撮影するには
IT関連
2024-02-18 04:17
キヤノンITS、パブリッククラウドへの専用線接続サービスを開始
IT関連
2021-03-10 00:55
Contentsquareが日本法人設立–「顧客体験分析市場の認知を高めたい」
IT関連
2022-05-25 20:30
[速報]Google、リモートの相手が目の前に実在するような「Project Starline」アーリーアクセスを開始、パートナー企業のオフィスに設置。Google Cloud Next '22
Google
2022-10-12 05:49
コンテナイメージなのにブート可能な新技術による「Image mode for Red Hat Enterprise Linux」、Red Hatが発表。レジストリなどのコンテナ関連ツールがそのまま利用可能
Linux
2024-05-09 05:06
テレワーク下の不調を早期発見–従業員のメンタルヘルスを可視化する「Weekare」が提供開始
IT関連
2021-05-28 07:50
ロボティック・プロセス・オートメーションのUiPathがIPO申請
ソフトウェア
2021-03-30 09:33
ラック、Opening Lineとブロックチェーン分野で協業–スマートシティー構想の実現へ
IT関連
2022-06-15 05:41
アクティビティから睡眠管理に移行するフィットネスリングのOuraが約109.3億円を調達
ヘルステック
2021-05-06 12:24
“現代版セグウェイ”はこれからのモビリティになるか ネックは時速制限? (1/3 ページ)
くわしく
2021-07-16 07:20