Lazy Diary @ Hatena Blog

PowerShell / Java / miscellaneous things about software development, Tips & Gochas. CC BY-SA 4.0/Apache License 2.0

OSSの脆弱性への対応が検討できないケースに関する考察

システムで利用しているOSS脆弱性が見つかったときの対応が検討できないの、なんでだろう?という気もするんだけど、

問:ある業務アプリケーションに組み込んでいたOSSに含まれていた既知の脆弱性を悪用され、情報セキュリティ事故が発生した。同様の事故に対する再発防止策として最も適切なものを選べ。

  • A: 脆弱性対策に漏れがないよう、AppScanなどの診断ツールを利用して、業務アプリケーションに対する脆弱性の確認を網羅的に実施する。
  • B: ソースコードが利用できる利点を生かし、OSSに対して静的解析を行うことで、既知の脆弱性がないか確認したうえで利用する。
  • C: NVDやJVNなどの脆弱性情報データベースを確認する頻度を上げ、アプリケーションに組み込んでいるOSS脆弱性が見つかった場合にはすぐに対策を検討する体制を整える。
  • D: OSS脆弱性脆弱性診断ツールでは摘出できないので、脆弱性の確認を手動で実施するようにテスト観点を追加する。

……みたいな問題が出たら誤答する人もいるだろうから、結局プロジェクトの中で誰かが気付いてあげるしかないのかもね。