Google の OSS ライブラリ依存関係マッピングツール試用レポート | ScanNetSecurity
2024.04.16(火)

Google の OSS ライブラリ依存関係マッピングツール試用レポート

Google が、何百万も存在するオープンソースソフトウェアライブラリにおけるすべての依存関係をマッピングし、パッチが適用されていない脆弱性を警告するオンラインツールを構築した。

国際 TheRegister
Google の OSS ライブラリ依存関係マッピングツール試用レポート
Google の OSS ライブラリ依存関係マッピングツール試用レポート 全 3 枚 拡大写真
 Google が、何百万も存在するオープンソースソフトウェアライブラリにおけるすべての依存関係をマッピングし、パッチが適用されていない脆弱性を警告するオンラインツールを構築した。

 このツールは、自分のプログラミングプロジェクトで利用するライブラリの中に何が含まれているのか正確に調べ、特に重要なこととして、修正されていない隠れたセキュリティバグが含まれていないか確認するのに役立つ。それにより、別のパッケージセットを選択したり、セキュリティホールへのパッチ適用に役立てたりすることで、アプリケーションが悪用可能な状態のまま放置されるのを避けることができる。

 最近では、あるライブラリをプロジェクトに取り入れる際、そのライブラリが持つ数十の依存関係や下位依存関係も含めて取り入れているのが普通である。そしてそれらのコンポーネントのすべてにセキュリティホールが含まれているかもしれず、あるいは実際に含まれているため、親プログラムが攻撃に対して脆弱な状態になる可能性がある

 また、それらの依存関係が壊れたり消滅したりして、コードの構築や展開ができない、または期待通りに構築できない場合もある。プログラムが古いライブラリをインポートし、最新の状態を保っていない可能性もあり、その場合はバグ修正やセキュリティパッチ、新たな機能を適用し損なう。

 開発者はプロジェクトにライブラリを追加する際、自分が何を扱っているのか、または表面下にどんな問題が潜んでいるのか、ほとんど分かっていないと言ってもいいだろう。このソフトウェアエンジニアリングの脆弱な状態は、無料ソフトウェアだけでなく商用アプリケーションにも影響を与えておりこの問題を指摘する Google 社員たちの声がますます高まっている

《The Register》

この記事の写真

/

特集

関連記事

PageTop

アクセスランキング

  1. 東芝テックが利用するクラウドサービスに不正アクセス、取引先や従業員の個人情報が閲覧された可能性

    東芝テックが利用するクラウドサービスに不正アクセス、取引先や従業員の個人情報が閲覧された可能性

  2. 「引っかかるのは当たり前」が前提、フィッシングハンターが提案する対策のポイント ~ JPAAWG 6th General Meeting レポート

    「引っかかるのは当たり前」が前提、フィッシングハンターが提案する対策のポイント ~ JPAAWG 6th General Meeting レポート

  3. 転職先で営業活動に活用、プルデンシャル生命保険 元社員 顧客情報持ち出し

    転職先で営業活動に活用、プルデンシャル生命保険 元社員 顧客情報持ち出し

  4. マリンネットサイトに SQL インジェクション攻撃、メールアドレス流出

    マリンネットサイトに SQL インジェクション攻撃、メールアドレス流出

  5. 委託事業者が回収処理した国民健康保険証、拾得物として警察署に届く

    委託事業者が回収処理した国民健康保険証、拾得物として警察署に届く

ランキングをもっと見る
PageTop