LinuxやKVMプロジェクトの非安全なコードの割合は95%、オープンソースのメモリ安全性調査
マイナビニュース / 2024年6月28日 12時44分
米国土安全保障省サイバーセキュリティ・インフラストラクチャーセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は6月26日(米国時間)、「CISA and Partners Release Guidance for Exploring Memory Safety in Critical Open Source Projects|CISA」において、重要なオープンソースプロジェクトのメモリ安全性に関する調査レポートの概要を伝えた。
このレポートはCISA、米国連邦調査局(FBI: Federal Bureau of Investigation)、オーストラリアサイバーセキュリティセンター(ACSC: Australian Cyber Security Centre)、カナダサイバーセキュリティセンター(CCCS: Canadian Centre for Cyber Security)が共同で作成したもので、「Exploring Memory Safety in Critical Open Source Projects | CISA」から閲覧することができる。
○主要な分析結果
レポートではオープンソースセキュリティ財団(Open Source Security Foundation)から派生した172のプロジェクトについて分析、分析結果のポイントは次のとおり。
プロジェクトの52%にメモリ安全性が担保されない言語で記述されたコードが含まれている
プロジェクトのコード行数(LoC: Lines of Code)の55%はメモリ安全性が担保されない言語で記述されている
大規模プロジェクトではメモリ安全性が担保されない言語の使用率に偏りが見られる。コード行数の多いプロジェクトの上位10件は、メモリ安全性がないコード行数がそれぞれ26%を超える。上位10件のうちメモリ安全性がない言語の使用率の中央値は62.5%で、4件のプロジェクトでは94%を超える
メモリ安全性を備える言語で記述された3つのプロジェクトの依存関係を分析すると、メモリ安全性が担保されない言語で書かれた他のコンポーネントに依存していることが確認された
レポートではメモリ安全性を備える言語で記述されたプロジェクトにおいても、メモリ関連の脆弱性を潜在的に含むことがわかったと結論づけている。また、メモリ安全性を備える言語はその機能を合理的な理由で無効にできるとして、メモリ安全性が担保された言語の使用が実際の安全性を証明するわけではないと説明されている。
下図は、オープンプロジェクトのサイズとメモリ安全性を比較したものだ。Linuxカーネルを含む大規模なプロジェクトは主にメモリ安全性が担保されていない言語を用いていることがわかる。
○推奨事項
CISAはこのレポートを「特定のオープンソースソフトウェア」におけるメモリ安全性のリスク評価を組織に提供するために作成したとしている。また、すべての組織とソフトウェア開発業者に対し、メモリー関連の脆弱性を軽減するためにレポートの「Methodology and Results」を閲覧して理解することを推奨している。
(後藤大地)
外部リンク
この記事に関連するニュース
-
マイクロソフト、7月セキュリティ更新プログラム公開 - 139件の脆弱性修正
マイナビニュース / 2024年7月11日 10時52分
-
サイバートラストが製品出荷後の脆弱性対応を支援する組込み機器向け脆弱性調査サービスを提供開始
PR TIMES / 2024年7月10日 17時45分
-
Let's Encryptが「ntpd-rs」導入、メモリセーフへ移行を進める
マイナビニュース / 2024年7月8日 15時5分
-
SecurityScorecard「米国ヘルスケア業界サイバーリスク脅威調査 2024」ヘルスケア業界のサイバーセキュリティ評価は「B+」サプライチェーン関連のサイバーリスクという重大な脆弱性に直面
Digital PR Platform / 2024年7月8日 10時0分
-
SecurityScorecard、CISAのセキュア・バイ・デザイン誓約に署名:ソフトウェア開発における信頼と透明性への取組を強化
Digital PR Platform / 2024年7月4日 15時2分
ランキング
-
1『ポケモンGO』激レアな“3ひきかぞく”の条件が気になる!ワッカネズミ初登場の「一家団欒イベント」重要ポイントまとめ
インサイド / 2024年7月17日 0時0分
-
2「酔っていました」 MLBオールスターの国歌斉唱に「ひどい」と批判 歌手が謝罪
ねとらぼ / 2024年7月17日 10時5分
-
3Xの動画「勝手に次も再生される」を防ぐ裏ワザ
ITmedia NEWS / 2024年7月17日 8時30分
-
4iPhoneが海に落下...どうすれば? - いまさら聞けないiPhoneのなぜ
マイナビニュース / 2024年7月17日 11時15分
-
5グーグル「Chrome」深刻度“高”の脆弱性10件に対応するアップデート
ASCII.jp / 2024年7月17日 13時0分
記事ミッション中・・・
記事にリアクションする
記事ミッション中・・・
記事にリアクションする
エラーが発生しました
ページを再読み込みして
ください