Linux Foundation、使用頻度の高いオープンソースソフトウェアのセキュリティに関する調査結果を発表

 非営利団体Linux Foundation傘下のCore Infrastructure Initiative(CII)は2月18日(米国時間)、運用環境のアプリケーションで使われているフリー/オープンソース(FOSS)コンポーネントのセキュリティに関するレポートを発表した。

 Core Infrastructure Initiative(CII)は、2014年春に発見されたOpenSSLの脆弱性(「Heartbleed」)問題を受けてLinux Foundationが立ち上げたプロジェクト。重要なインフラ開発への支援を最大の目的としており、米Amazon Web Services(AWS)、米Cisco Systems、富士通、米Google、米IBM、米Microsoftなどが立ち上げ時のメンバーとなっている。

 今回ハーバード大のLaboratory for Innovation Science at Harvard(LISH)と共同で、運用環境のアプリケーションで使われている重要なオープンソースコンポーネントの調査を行い、「Vulnerabilities in the Core」としてまとめた。Linux Foundationらは2015年にもDebian Linuxディストリビューションにおいてどのソフトウェアパッケージがカーネルの運用とセキュリティにとって重要かを調べたレポートを「Census I」として公開しており、今回のものは第二版(「Census II」)となる。

 Software Composite Analysis(SCAs)やアプリケーションセキュリティ企業などと協業し、非公開データと公開データを組み合わせて、最もよく使われているオープンソースソフトウェアプロジェクトを200以上割り出した。そのうち20のプロジェクトについて、週ごとのコミット数や追加されたコード行を調査した。

 20のプロジェクトには、依存性解析により割り出した10のパッケージ(async、inherits、isarray、kind-of、lodash、minimist、natives、qs、readable-stream、string_decoder)と、JavaScript以外のフリー/オープンソースソフトウェア(FOSS)パッケージ(com.fasterxml.jackson.core:jackson-core、com.fasterxml.jackson.core:jackson-databind、com.google.guava:guava、commons-codec、commons-i、httpcomponents-client、httpcomponents-core、logback-core、org.apache.commons:commons-lang3、slf4j)の大きく2種類に分類できる。Linux Foundationによると、JavaScriptパッケージはどのランキングでも上位を独占していることから、JavaScript以外から10を選んだという。

 Linux Foundationによると、FOSSはこういった環境で使われるソフトウェアの80~90%を占めているという。調査結果からの学びとして、1)標準化されたスキーマ名の必要性、2)セキュリティにおける個人開発者の重要性が増加、3)オープンソースにおけるレガシーソフトウェアの存在、などを挙げている。

 レポートはLinux FoundationのWebサイトより入手できる。

「Vulnerabilities in the Core」
https://www.coreinfrastructure.org/programs/census-program-ii/