BT

最新技術を追い求めるデベロッパのための情報コミュニティ

寄稿

Topics

地域を選ぶ

InfoQ ホームページ ニュース Eclipseが脆弱性評価ツールを提案

Eclipseが脆弱性評価ツールを提案

原文(投稿日:2019/09/14)へのリンク

Eclipse Foundationに、Common Vulnerabilities and Exposures(CVE)データベースから既知のセキュリティ問題を含むソフトウェア依存関係の特定作業を支援する、脆弱性評価ツールの移行が提案されている。

このツールは、既知の脆弱性を持つコンポーネントの使用することで発生する、OWASPのA9セキュリティ問題に対する有害な違反の存在を、チームが特定する作業を支援するものだ。ダウンストリームライブラリを監視する自動チェックがなければ、開発者の多くはコンポーネントをいつアップグレードすべきか分からないため、既知の自動化エクスプロイトを抱えたライブラリを使用し続け、結果的にシステムの毀損や侵害を受けることになる。脆弱なコンポーネントの最も顕著な事例は、2017年からのEquifaxに関わる侵害で、1億4300万件の個人記録が流出し、6億ドルの損失を発生させ、元CIOのJun Yingに対する4ヶ月の禁固刑へと至っている。Ying氏がセキュリティ問題に関する自身の知識を使って、他の投資家が知る前に株を売却したという、インサイダ取引で有罪判決を受け、罰金を科せられたものだ。

Vulnerability Assessment Toolは、JavaとPythonをサポートを備えたものが2019年1月、SAPによってオープンソースとして公開され、既知のCVEを監視する他のソフトウェア構成分析(SCA)ツールと同じ業界でシェアを争うことになった。同じような機能は、MicrosoftによるDependabotの買収によって、GitHubを使用するソフトウェアプロジェクトでも使用可能になっている。脆弱性評価ツールと同じように、GitHubでは、既知のCVEを持つライブラリを識別し、さらに問題のあるライブラリをアップグレードするプルリクエストを送信する。

CVEをスキャンすることにより、脆弱なコンポーネントへのパッチの適用でセキュリティは向上するが、ある種のリスクは残る。ツールはライブラリとそのバージョン番号に基づいてスキャンを行うため、バージョンが誤って報告されている場合、あるいは指定されたものではない場合を判断できないのだ。2019年5月にはDockerが、セキュリティレベルを示すバージョン番号を使用したOpenJDKのデフォルトバージョンを提供したが、このOpenJDKには該当のセキュリティ修正が含まれていなかった、ということがあった。 2017年にはIDEプラグインのEclipseマーケットプレイスで、オープンソースとしてコードを公開している人気のプラグインで、実際にはアドウェアの入った別のコードベースが実行されていた、ということもあった。どちらのケースでも、実際に実行されるコードが異なるため、CVEデータベースは適用されなかったのだ。OpenJDK dockerの問題はコミュニティのコラボレーションによって解決され、Eclipse Foundationは誤解を招くプラグインを改善するための活動を開始している

ソフトウェア構成分析は、各コンポーネントを分離して分析するが、それらの連携方法までは認識していない。例えば、セキュリティ上の問題を持たない2つのライブラリを同時に使用することで、セキュリティ問題が発生した場合、ツールはそれを報告しないのだ。WebLogicなど多くのJavaアプリケーションは、信頼されていないデータに対してJavaデシリアライゼーション使用することによって、このような脆弱性を検出している。URLから管理コードを読み込んで実行するMLetsJも使用されている。

Eclipseコミュニテの参加者であれば誰でも、脆弱性分析ツールが提案段階にある間は、脆弱性分析ツールに関する議論に参加することが可能である。

この記事に星をつける

おすすめ度
スタイル

BT