GitLabがセキュリティレポートを発表、脆弱性を含む依存性を使用する比率が増加

 オランダGitLabは10月6日、セキュリティトレンドの報告書を発表した。GitLab.comがホスティングしているプロジェクトのコードをスキャンし、セキュリティ脆弱性の傾向を調べたもので、LodashやjQueryに脆弱性が含まれたまま使われている現実が浮き彫りになった。

 GitLabのセキュリティレポートはmGitLabがホスティングしているプロジェクトからセキュリティ動向を調べるもの。4月に初回を公開以来、2回目となる。8月期に最も多かった共通脆弱性(CWE、脆弱性の種類)は、「CWE-20」と識別されている「不適切な入力バリデーション」で、悪用されるとSQLやコード挿入が可能になるもの。コンテナスキャナでは、glibcとapt、依存性スキャナではajv、sockjs、minimist、yargs-parserでこの種類の脆弱性が検出されたと言う。続いて「CWE-787」と識別される「境界外書き込み」(遠隔からコードを実行される脆弱性)、「CWE-400」の「制御されていないリソース消費」となっている。。

 依存性については、脆弱性を持つ依存性を使っているプロジェクトの比率は安定した増加傾向にあり、2020年8月は2019年9月の26%から69%と2.6倍で増えた。「依存ライブラリをアップデートすることの優先順位を上げるべき」と助言している。なお、8月期に脆弱性を持つライブラリで最も使われているものとして、「Lodash」「Execa」「Mixin-deep」「kind-of」「sockjs」「Ajv」「Minimist」「Yargs-parser」「jQuery」が挙がっている。

 コンテナスキャンも行った。脆弱性を含むコンテナを使っているプロジェクトの比率は、2019年12月を境に減少傾向にあり、2019年9月の52%から今期は41%になった。脆弱性を含むコンテナを使っているプロジェクトの比率はGlibcが最多だった。

 GitLabでは、「多くのプロジェクトがコンテナをアップデートしているが、数年前に発見された脆弱性のあるコンテナを使っているプロジェクトはいまだにたくさんある」として、全てのコンテナをアップデートするよう推奨している。

オランダGitLab
https://about.gitlab.com