8割のライブラリが一度もアップデートされずーー米Veracode調査

　アプリケーションセキュリティの米Veracodeは6月22日（米国時間）、オープンソースソフトウェアのセキュリティレポート「Veracode State of Software Security（SoSS） v11: Open Source Edition」を発表した。80％近くのライブラリが一度もアップデートされていないという実態が明らかになった。

　このレポート作成にあたり、8万6000件以上のオープンソースプロジェクトのリポジトリに対して1300万回のスキャンを実施した。ライブラリの数は30万1000件以上に及ぶという。合わせて、2000人以上の開発者にも調査した。

　調査から、外部ライブラリをコードベースに入れた後、79％が全くアップデートされていないことがわかった。オープンソースのライブラリは常に進化しており、セキュリティ状況は常に変化していることから、アップデートがなされないことはベンダーとユーザーにとって大きなリスクをもたらすと警告している。

　実際、ほぼ全てのライブラリで、少なくとも1件の脆弱性が含まれていたという。

　アップデートにつながっていない背景として、文脈のある情報が不足していることを指摘している。開発者が十分な情報が得られていないと感じている場合、既知の欠陥の50％を修正するのに7ヶ月を要しているが、情報を得ていると感じている場合は3週間で50％を修正できているという。

　なお、ライブラリに含まれる欠陥のうち92％は、アップデートにより修正できるという。さらには、69％のアップデートがマイナーバージョンだという。

　調査ではまた、脆弱性が常に変化していることもわかった。例えば、Rubyのライブラリのうち2019年に最も人気のあるライブラリ5件中4件は、2020年には上位10に入っていなかった。また、Goのライブラリのうち2019年は脆弱性の面で上位に入るライブラリが2020年には脆弱性が低いライブラリになったり、その逆もあったという。

「Veracode State of Software Security（SoSS） v11: Open Source Edition」 https://info.veracode.com/fy22-state-of-software-security-v11-open-source-edition.html