調査結果「オープンソース プロジェクトのセキュリティ確認プロセスは不十分」

オープンソースおよびそれに関連するセキュリティの裏にある基本概念の1つは、多くの目がコードを監視することによって、潜在的問題および現実に起きている問題のありかを見つけだしていくという事実にある。だが、アプリケーション セキュリティ ベンダーの Fortify Software によれば、たくさんの目で見ているだけでは十分ではないという。実際、Fortify は新しい調査報告のなかで、オープンソース ソフトウェアは安全性の開発プロセスが正しく実行されていないため、安全性が低く企業を危険にさらしていると主張している。

Fortify の調査では、Java 関連の11のオープンソース プロジェクトを取り上げ、集中的なテストを行なって安全性を試験した。その結果、一般的にプロジェクトには、クロスサイト スクリプティングの脆弱性や SQL インジェクションの問題といった広範なセキュリティ脆弱性が存在し、全体的に安全性確保のプロセスが適切に導入されていなかったという。

「オープンソース ソフトウェアは、十分な調査がなされていない危険分野だとわれわれはみなしており、この点について企業の理解を深められるよう支援したいと考えている。調査を行なった11のオープンソース パッケージのすべてに、著しい脆弱性が見つかった。その数がこれほど多数にのぼるということから、オープンソース プロジェクトにはセキュリティツールが正しく導入されていないとわれわれは考えている」と、Fortify のセキュリティ調査グループ マネージャ Jacob West 氏は取材に応じて述べた。

West 氏はさらに、Fortify が調査したプロジェクト全般で、ほとんどのプロジェクトに、ユーザーがすぐに相談できるセキュリティ専門家がいなかったと指摘する。また、バグに関する報告および取り扱いに関しても確たるシステムが欠けていたという。Fortify が調査した11のプロジェクトは、リレーショナル データベースの『Apache Derby』、アプリケーション サーバーの『Apache Geronimo』、O/R マッピングツールの『Hibernate』、CRM Web アプリケーションの『hipergate』、アプリケーション サーバーの『JBoss Application Server』および『JOnAS』(Java Open Application Server)、Eビジネス ソリューションの『Apache OFBiz(Open For Business Project)』、コンテンツ管理ソリューションの『OpenCms』、アプリケーション サーバーの『Resin』、Web アプリケーション フレームワークの『Struts』、およびアプリケーション サーバーの『Apache Tomcat』だ。

Fortify は、オープンソースの Java プロジェクトに関するセキュリティに、一定の積極的な関心をもってきている。Fortify は2006年から、同社のスタティックなソースコード分析ツールを使って『Java Open Review』(JOR) というプロジェクトを実施し、バグの検出に努めてきた。これまでに100を超えるオープンソース プロジェクトに協力し、コードの改善を支援してきたと、Fortify は主張している。West 氏によると、そのなかで JOR は、約389の脆弱性を発見して確認し、その直接的な結果として約357の脆弱性が修正されたという。

Twitter	iPhoneアプリ / iPadアプリ		Androidアプリ
Facebook	RSS	ニュースメール