Apache Log4j開発チームは12月13日、Javaロギングツールの最新版「Apache Log4j 2.16.0」を公開した。遠隔から任意のコードを実行されるおそれのある脆弱性(CVE-2021-44228)とそれに続く脆弱性(CVE-2021-45046)を修正するものとなり、アップデートを推奨している。
セキュリティ
オープンソースのパケットアナライザ「Wireshark 3.6」が公開
Wireshark Foundationは11月22日、オープンソースのネットワークプロトコル解析ソフトウェアの最新版となる「Wireshark 3.6.0」を公開した。
「PostgreSQL 14.1」が公開、セキュリティ脆弱性を修正
The PostgreSQL Global Development Groupは11月11日、最新のポイントリリースとなる「PostgreSQL 14.1」を公開した。2件のセキュリティ修正が加わっている。合わせて、9.6系最後のリリースも公開した。
Windows向けパスワード監査ツール「L0phtCrack」がオープンソースに
Windows向けパスワード監査ツール「L0phtCrack」開発チームは10月17日、最新版となる「L0phtCrack 7.2.0」の公開と共に、オープンソースとして公開したことを発表した。
Googleがオープンソースの安全性改善に総額100万ドル出資ーー「Secure Open Source Rewards」
Google(米Alphabet傘下)は10月1日、オープンソースのセキュリティ改善のためのリワード(報酬)プログラム「Secure Open Source Rewards」を発表した。Linux Foundationが運営し、Googleはスポンサーとしてセキュリティ改善に取り組んだ開発者に総額100万ドルを支払う。
Google、OSTIFに協力しGitなど8プロジェクトのセキュリティ強化へ
Google(米Alphabet傘下)のGoogle Open Source Security Teamは9月15日、Open Source Technology Improvement Fund(OSTIF)を支援して、Gitなどのオープンソースプロジェクトのセキュリティ改善を図ること発表した。
オープンソースのサプライチェーン攻撃は650%増加、米Sonatype
米Sonatypeは9月15日、オープンソースのサプライチェーンセキュリティを調べた「2021 State of the Software Supply Chain Report」を発表した。オープンソースのサプライチェーン攻撃は650%増加したと報告している。
「OpenSSL 3.0」が公開、ライセンスはApache License 2に変更
TLS実装のOpenSSLを開発するThe OpenSSLプロジェクトは9月7日、最新のメジャーリリースとなる「OpenSSL 3.0」の公開を発表した。
「OpenSSH 8.7」が公開
SSH 2.0互換の「OpenSSH」開発チームは8月20日、最新版となる「OpenSSH 8.7」を公開した。SFTPプロトコルの実験的サポートなどが加わっている。
オープンソースのファイアウォール「OPNsense 21.7」公開
オープンソースのファイアウォール「OPNsense」開発チームは7月28日、最新のメジャーリリースとなる「OPNsense 21.7」( “Noble Nightingale”)を公開した。
Linuxファイアウォール管理の「firewalld 1.0」が登場
Linux用ファイアウォール管理ツールFirewalldの開発チームは7月22日、初の正式版となる「firewalld 1.0.0」公開を発表した。
オープンソースのセキュリティスコア「Scorecards 2.0」が公開
Google(米Alphabet)とOpen Source Security Foundation(OpenSSF)は6月30日、オープンソースのセキュリティをスコアにする「Security Scorecards 2.0.0」を発表した。
8割のライブラリが一度もアップデートされずーー米Veracode調査
アプリケーションセキュリティの米Veracodeは6月22日(米国時間)、オープンソースソフトウェアのセキュリティレポート「Veracode State of Software Security(SoSS) v11: Open Source Edition」を発表した。80%近くのライブラリが一度もアップデートされていないという実態が明らかになった。
Googleオープンソースソフトの脆弱性データベースOSVを拡大、Go、Rust、Python、DWFもサポート
Google(米Alphabet)は6月24日、オープンソースプロジェクトの脆弱性データベース「Open Source Vulnerabilities(OSV)」を拡大し、Go、Rust、Python、DWFの脆弱性データベースをサポートすることを発表した。
Mozilla、Firefoxにサイト隔離のための機構を導入へ
Mozillaは5月18日、セキュリティブログにてFirefoxのデスクトップ版に「Site Isolation」機能を導入することを発表した。2018年初めに脅威が報告されたMeltdownなどの脅威に対するものとなる。
Linux Foundation、オープンソースソフトウェアの署名を容易にする「Sigstore」
非営利団体Linux Foundationは3月9日(米国時間)、最新のプロジェクト「Sigstore」を発表した。リリースファイルへの署名を容易にすることで、ソフトウェアサプライチェーン攻撃に対する保護対策を進める狙い。
クラウドネイティブアプリ向けセキュリティ「Curiefense 1.3」
クラウドアプリケーションのためのセキュリティプラットフォーム「Curiefense」開発チームは3月2日、初のGA(一般公開)となる「Curiefense 1.3.0」公開を発表した。
「OpenSSH 8.5」が公開
SSHプロトコルのオープンな実装「OpenSSH」開発チームは3月3日、最新版となる「OpenSSH 8.5」を公開した。ベターなアルゴリズムに自動アップデートできるUpdateHostkeysがデフォルトで有効になるなどの強化が加わっている。OpenSSH 8.5は2019年に初版が公開された8系の最新版で、2020年9月に公開されたバージョン8.4に続くリリース。
Linux FoundationとGoogle、Linuxカーネル安全性強化に向け専任担当を起用
Linuxを推進する非営利団体Linux FoundationとGoogle(米Alphabet傘下)は2月24日(米国時間)、Linuxカーネルの安全性にフォーカスするためにフルタイムの開発者2名を起用する資金の設立を発表した。今後長きに渡りLinuxが持続できるための安全性の取り組みを前進させる狙い。Linuxは2020年8月時点で20万人以上の貢献者が開発に参加しており、コミット数は100万件にのぼるという。
「PostgreSQL 13.2」が公開、バージョン9.5系はEOLに
オープンソースのリレーショナルデータベース「PostgreSQL」を開発するPostgreSQL Global Development Groupは2月11日、最新安定版となる「PostgreSQL 13.2」を公開した。セキュリティ脆弱性の修正が特徴となる。
