グーグルがオープンソースの脆弱性を発見しやすくするツールを公開

今回は「グーグルがオープンソースの脆弱性を発見しやすくするツールを公開」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 Googleは、オープンソースプロジェクトの脆弱性をトリアージする作業を支援し、メンテナーやオープンソースのコンシューマーを手助けするための脆弱性データベースを提供するサイトである「Open Source Vulnerability」(OSV)を立ち上げた(ここで言う「コンシューマー(consumer)」とは、あるオープンソースソフトウェアに依存する別のソフトウェアや、そのソフトウェアの開発者を指す)。

 Googleによれば、オープンソースソフトウェアの利用者が、共通脆弱性識別子(CVE)のエントリーなどの脆弱性情報と、自分たちが利用しているパッケージのバージョンを対応付けるのは難しい作業だという。これは、既存の脆弱性情報の標準で使用されているバージョンスキームと、オープンソースの現場で実際に使用されているバージョンスキーム(通常はバージョンとタグやコミットハッシュの組み合わせ)をうまく対応付けることができないためだ。同社は「その結果、見逃された脆弱性がダウンストリームのコンシューマーに影響を与えている」と警告を発している。

 OSVの目的は、新たに発見された脆弱性のトリアージに関する問題を自動化によって解決することだ。

 Googleは、「オープンソースのメンテナーにとって、OSVによる自動化はトリアージの負担を減らすのに役立つ。(OSVでは)各脆弱性に対して二分探索法と影響分析の処理を自動的に行うことで、影響を受けるコミットとバージョンの範囲を正確に特定している」と説明している。

 「同様に、メンテナーが脆弱性を修正する際に、情報公開に必要なプロセスに加えて、ダウンストリームのコンシューマーのために全てのブランチの影響を受けるバージョンやコミットの正確なリストを作成するには時間が掛かる。残念ながら、多くのオープンソースプロジェクトはリソース不足でオーバーワークになっており、これには現代のインフラに必要不可欠なプロジェクトも含まれている。そのため、メンテナーが自分たちの脆弱性に関して綿密で正確な情報を作成して公開したいと思っても、それだけの余裕がない場合もある。

 私たちは、オープンソースコミュニティーと協力しながらさまざまなプログラミング言語エコシステム(例:NPM、PyPI)のデータを使用して取り組みを拡大し、パッケージのメンテナーが最小限の作業で脆弱性情報を公開できるパイプラインを作り上げる予定でいる」(OSVの公開について説明したブログ記事)

 Googleによれば、OSVは「どこで脆弱性が導入され、どこで修正されたかに関する正確な情報を提供することで、オープンソースソフトウェアのコンシューマーが、自分たちが影響を受けるのかどうかを正確に判断し、できる限り早くセキュリティパッチを作成するのを支援する」ことを目指しているという。

 現在同サイトでフィードされている情報には、オープンソースソフトウェアのバグを調べるためにGoogleが開発したボットである「OSS-Fuzz」で作成された脆弱性情報が使用されている。OSVに登録されているバグの多くは、CかC++のコードだという。

ビジネス視点でセキュリティを考える 「Cisoハンドブック」が教えてくれること:半径300メートルのit ...

インシデントに強い組織を構築するために、CSIRTやCISOの設置を考える企業の中には、組織や役職を設置することが目的となり、実際に何をすればいいかが分からないケースも見受けられます。「CISOが明日から使える知識が欲しい」場合はどうすればよいのでしょうか。

Amazon.co.jp: インターネット セキュリティ

インターネット セキュリティ ウイルス対策 ソフト Mac iPhone Windows Android 対応 アンラボV3セキュリティ 1年 2台版【最新】 5つ星のうち4.0 4 CD-ROM

セキュリティ対策の取り組み | パソコン工房【公式通販】

セキュリティ対策の取り組みについて。厳選した最新パーツをいち早く搭載!リーズナブルでハイスペック。豊富にカスタマイズできて、国内生産ならではの短納期。パソコンのことならパソコン工房。

インターネットと情報セキュリティの最新ニュース - INTERNET Watch

インターネット関連の最新ニュースを毎日配信。新しい技術動向やセキュリティ情報の紹介から、最新のIT業界動向、使えるサービスのリンク集まで、インターネットの“今”を伝えます

AWSでのセキュリティ対策3つ|主なセキュリティサービス6つも紹介 | FEnet AWSコラム

この記事では、AWSのセキュリティに観点をあて、データの保護、機密性などのセキュリティを高めるための対策3つと、AWSが提供するセキュリティサービス6つを紹介します。それに合わせて、AWSを利用する上での注意点も紹介しています。

ゼロトラストセキュリティ:日立情報通信エンジニアリング

ゼロトラスト セキュリティとは. ゼロトラストセキュリティとは、「ネットワークを利用するユーザー・デバイスは信頼(トラスト)できない」ことを前提に、情報へのアクセスごとにユーザー・デバイスの安全性(セキュリティ)を確認する考え方です。

セキュリティ設定不備で不正アクセス発生|バンダイ

画像:株式会社バンダイより引用 株式会社バンダイは2021年1月29日、グループ会社のBANDAI SPIRITS と共同で運用するクラウド型営業管理システムに対して第三者からの不正アクセスが発生し、顧客147名の個人情報について流出

「セキュリティ・キャンプフォーラム2021」開催のご案内:Ipa 独立行政法人 情報処理推進機構

ipaは、以下のとおり「セキュリティ・キャンプフォーラム2021」を開催します。 このフォーラムは、セキュリティ・キャンプ修了生相互の年度を超えた交流と意見交換の場の提供、セキュリティ・キャンプ修了生の認知度向上と現在の活動状況紹介による産業界での活躍支援のきっかけの提供の2 ...

指紋認証による高セキュリティFeliCaカード。DNP - Impress Watch

大日本印刷(DNP)は、FeliCaに対応した指紋認証による生体認証カードを開発した。指紋認証による高いセキュリティと利便性を兼ね備え、既存のFeliCa対応のカードリーダーを改修せずに、高セキュリティでの入退室管理や電子マネー決済を可能とする。2月から同カードを使った社内での実証実験を ...

「これだけは知っておきたい 無線LANセキュリティ対策」をオンライン講座「gacco®(ガッコ)」にて2021年2月 ...

株式会社インプレスホールディングスのプレスリリース(2021年2月8日 14時00分)[これだけは知っておきたい 無線LANセキュリティ対策]をオンライン講座[gacco(R)(ガッコ)]にて2021年2月12日(金)リニューアル開講決定

指紋認証による高セキュリティなFeliCaカードを開発 | ニュース | DNP 大日本印刷

高いセキュリティを求められるオフィスや工場等への入退時や電子マネーの決済時などに、FeliCaカードに搭載された指紋センサーで登録した個人が指で触れながらカードをリーダーにかざすことで、認証や決済などが可能になります。

【セキュリティ ニュース】自動車産業「Japan Automotive ISAC」が発足(1ページ目 / 全1ページ ...

国内自動車関連産業におけるサイバーセキュリティの関連情報について共有や分析を行う「Japan Automotive ISAC(J-Auto-ISAC)」が2月5日に設立された。:Security NEXT

情報セキュリティの重要性を全国各地でご紹介する 『中小企業のための情報セキュリティセミナー』を開催!:紀伊民報agara

2021年2月5日 security action制度普及事務局 (業務請負:株式会社ドゥ・クリエーション) 独立行政法人情報処理推進機構(ipa)では、中小企業が情報セキュリティ対策を身近な課題としてとらえ自発的に対策を行う気運を高めるために、情報セキュリティ対策の第一歩として、その対策に取り組む ...

セキュリティホール memo - st.ryukoku.ac.jp

macOS Big Sur 11.2、セキュリティアップデート 2021-001 Catalina、セキュリティアップデート 2021-001 Mojave のセキュリティコンテンツについて (Apple, 2021.02.01)

テリロジーワークス、米BitSightのセキュリティリスク簡易評価を無償提供 - クラウド Watch

株式会社テリロジーワークスは8日、米BitSight Technologies(以下、BitSight)が提供するサイバーセキュリティリスクスコアレーティングサービスに ...

Jbccのセキュリティ・サービス、きらぼし銀行のクラウドデジタル基盤で採用 金融dxを24/365のクラウド運用 ...

JBCCは、マネージドサービス(セキュリティの運用支援)を中心に、サイバー攻撃等の脅威から企業の情報資産を守る各種サービス ...

DNP、指紋認証による高セキュリティなFeliCaカードを開発 | TECH+

大日本印刷(DNP)は、国内の電子マネーや社員証などで普及している非接触ICカードの技術方式「FeliCa」に対応した指紋認証による生体認証カードを開発したことを発表した。

総務省「無線lanのセキュリティ確保のためのオンライン教育コンテンツを活用した周知広報業務」の一環として 「これだけ ...

2021.02.08; ニュースリリース; ネットメディア・サービス; 総務省「無線LANのセキュリティ確保のためのオンライン教育コンテンツを活用した周知広報業務」の一環として 「これだけは知っておきたい 無線LANセキュリティ対策」を オンライン講座「gacco®(ガッコ)」にて2021年2月12日(金 ...

Amazon.co.jp: カーセキュリティ

ユピテル Aguilas 専用工具不要 簡単取付ソーラー充電対応 リモコン付属カーセキュリティ VE-S37RS. 5つ星のうち3.8 411 ¥12,700 ¥12,700.

【仕事紹介&就活ぶっちゃけトーク】7人の若手セキュリティエンジニアが登場! - connpass

若手セキュリティエンジニアの仕事紹介&就活ぶっちゃけトーク! カジュアルに1時間、皆さんの質問を受け付けながらインタラクティブにお届けします。 【プログラム】 ・SBTの会社概要 ・若手セキュリティエンジニアの仕事紹介&就活ぶっちゃけトーク ・質疑応答 日によって異なる ...

大日本印刷、指紋認証による高セキュリティなFeliCaカードを開発 - 週刊アスキー

大日本印刷は2月8日、国内の電子マネーや社員証などで普及している非接触ICカードの技術方式「FeliCa」に対応した指紋認証による生体認証カードを開発した。

セキュリティエンジニア募集!高い技術力と問題解決力を持った技術者集団です! - 株式会社レオンテクノロジーの ...

株式会社レオンテクノロジーのエンジニアリング中途の転職・採用情報。Wantedlyでは、働くモチベーションや一緒に働くメンバーについて知ることができます。インターネットセキュリティの会社で、セキュリティサービスに関わる各種開発や構築を担当するサーバー&ネットワーク領域の ...

セキュリティエンジニア|株式会社神戸デジタル・ラボの求人/転職/採用情報 | 想定年収400~700万円 | It ...

想定年収400~700万円の株式会社神戸デジタル・ラボのセキュリティエンジニア求人・転職・採用情報です!人事担当者より現場に詳しいコンサルタントが企業のイチオシポイントや企業の雰囲気をお伝えします!スキルアップ、年収upなど、希望に沿う求人をご提案します!

【無料提供】ゼロ・トラストでテレワーク実現!テレワーク・セキュリティ・ガイドライン 配布! - ペンタpro:ペンタ ...

セキュリティ専門知識なしでも理解できる、簡単かつ安全なテレワークセキュリティ対策をお探しの方 他にも、テレワークセキュリティにおける様々な悩み・課題に直面している方々は是非ご一覧をお願いします。 資料のダウンロードはこちら

国内電力事業者サイバーセキュリティ対策基本枠組 ~ 電力 ISAC の取り組みの軌跡から | ScanNetSecurity

2010年ごろ、国内で制御システムセキュリティ、SCADAが話題になったことがある。きっかけのひとつがかの有名はStuxnetによるイラン核関連施設へのサイバー攻撃だ。

「エスクァイア Led打ち替え」☆Aquaのブログ | ☆Aqua☆ セキュリティ・Ledショップのブログ - みんカラ

「エスクァイア LED打ち替え」☆AQUAのブログ記事です。自動車情報は日本最大級の自動車SNS「みんカラ」へ!

シスコ、「2021年セキュリティ成果調査」の日本語版を発表 - SecurityInsight | セキュリティインサイト

SecurityInsight(セキュリティインサイト)は情報セキュリティを中心としたエンタープライズITの情報サイトです。

Secure Access GatewayDNSセキュリティ(Cisco Umbrella)|ソリューション ...

セキュリティについてはdnsセキュリティにて確保。 クラウド型dnsセキュリティでセキュリティポリシーを一元管理 社内・在宅勤務時問わず、統一したセキュリティポリシーを適用し、ドメイン単位で許可・禁止を設定可能。

書籍「Webブラウザセキュリティ」発刊記念 著者&レビュアー対談(前編) - SSTエンジニアブログ

こんにちは!CTOのはせがわです。 今年1月に、ラムダノートさんから「Webブラウザセキュリティ」という本が出版されました。 Webブラウザセキュリティ ― Webアプリケーションの安全性を支える仕組みを整理する 米内貴志 著 224ページ A5判 ISBN:978-4-908686-10-8 2021年1月5日 第1版第1刷 発行 昨秋、著者の米内貴志(つばめ)さんにお願いされてこの本のレビューを行ったこともあり、出版記念ということで同じくレビュアーだったにしむねあさん、キヌガワマサトさんもお招きして4人でこの本やWeb技術周辺についてワイワイと話をしましたので、2回に分けてその模様をお届け…

COMMENTS


Recommended

TITLE
CATEGORY
DATE
ヤマトHD、自動運転ロボット開発の中国企業Yours Technologiesに追加出資
IT関連
2024-08-20 14:36
「SparkyLinux」–誰でも使える、無駄を省いたLinuxディストリビューション
IT関連
2023-03-15 16:18
ウィズセキュア、2024年のサイバーセキュリティ動向予測を発表
IT関連
2023-12-23 09:11
老舗製薬会社の生き残り戦略はシステムの内製化 自由なデータ活用、開発の高速化を実現
PR
2021-03-09 09:45
CTC、データ活用基盤の構築支援サービス「D-Native」を提供
IT関連
2022-05-19 12:48
デル、最新型ミッションクリティカルストレージを発表
IT関連
2023-10-27 11:10
GVA TECH、法務管理クラウド「GVA manage」に案件の絞り込み機能などを追加
IT関連
2024-02-14 01:11
「差別化の前にまずは同質化」–ベイシアが説く、オムニチャネルへの挑戦
IT関連
2022-04-02 00:06
「LibreOffice 7.6」の「ページ番号ウィザード」を試す–ページ番号の追加が容易に
IT関連
2023-08-30 22:09
クラウド利用が環境に与える影響–再生可能エネルギーや電力効率への各社対策
IT関連
2023-03-15 13:54
OpenAI、低コストの小型モデル「GPT-4o mini」の提供を開始
IT関連
2024-07-20 22:45
AIリスク情報配信FASTALERTの「リアルタイムAPI」機能がアップデート、災害ビッグデータの網羅性が国内最大級に
パブリック / ダイバーシティ
2021-07-02 21:14
日立ソリューションズ・クリエイト、学生の相談情報を管理するシステムを提供
IT関連
2024-05-11 07:17
LegalForce、契約管理システム「LegalForceキャビネ」に担当者向け期限通知機能
IT関連
2022-12-01 10:14