Google の OSS ライブラリ依存関係マッピングツール試用レポート | ScanNetSecurity
2024.04.14(日)

Google の OSS ライブラリ依存関係マッピングツール試用レポート

Google が、何百万も存在するオープンソースソフトウェアライブラリにおけるすべての依存関係をマッピングし、パッチが適用されていない脆弱性を警告するオンラインツールを構築した。

国際 TheRegister
Google の OSS ライブラリ依存関係マッピングツール試用レポート
Google の OSS ライブラリ依存関係マッピングツール試用レポート 全 3 枚 拡大写真
 Google が、何百万も存在するオープンソースソフトウェアライブラリにおけるすべての依存関係をマッピングし、パッチが適用されていない脆弱性を警告するオンラインツールを構築した。

 このツールは、自分のプログラミングプロジェクトで利用するライブラリの中に何が含まれているのか正確に調べ、特に重要なこととして、修正されていない隠れたセキュリティバグが含まれていないか確認するのに役立つ。それにより、別のパッケージセットを選択したり、セキュリティホールへのパッチ適用に役立てたりすることで、アプリケーションが悪用可能な状態のまま放置されるのを避けることができる。

 最近では、あるライブラリをプロジェクトに取り入れる際、そのライブラリが持つ数十の依存関係や下位依存関係も含めて取り入れているのが普通である。そしてそれらのコンポーネントのすべてにセキュリティホールが含まれているかもしれず、あるいは実際に含まれているため、親プログラムが攻撃に対して脆弱な状態になる可能性がある

 また、それらの依存関係が壊れたり消滅したりして、コードの構築や展開ができない、または期待通りに構築できない場合もある。プログラムが古いライブラリをインポートし、最新の状態を保っていない可能性もあり、その場合はバグ修正やセキュリティパッチ、新たな機能を適用し損なう。

 開発者はプロジェクトにライブラリを追加する際、自分が何を扱っているのか、または表面下にどんな問題が潜んでいるのか、ほとんど分かっていないと言ってもいいだろう。このソフトウェアエンジニアリングの脆弱な状態は、無料ソフトウェアだけでなく商用アプリケーションにも影響を与えておりこの問題を指摘する Google 社員たちの声がますます高まっている

《The Register》

この記事の写真

/

特集

関連記事

PageTop

アクセスランキング

  1. マリンネットサイトに SQL インジェクション攻撃、メールアドレス流出

    マリンネットサイトに SQL インジェクション攻撃、メールアドレス流出

  2. 山田製作所にランサムウェア攻撃、「LockBit」が展開され複数のサーバのデータが暗号化

    山田製作所にランサムウェア攻撃、「LockBit」が展開され複数のサーバのデータが暗号化

  3. お茶の水女子大学の研究室サーバに不正アクセス、攻撃の踏み台に

    お茶の水女子大学の研究室サーバに不正アクセス、攻撃の踏み台に

  4. 到来する「脆弱性対策義務化時代」に脆弱性管理サービス「SIDfm」が果たす役割

    到来する「脆弱性対策義務化時代」に脆弱性管理サービス「SIDfm」が果たす役割PR

  5. 住友重機械工業のサーバに不正アクセス、「なりすましメール」への注意喚起も発表

    住友重機械工業のサーバに不正アクセス、「なりすましメール」への注意喚起も発表

ランキングをもっと見る
PageTop