毎年発見されるオープンソースの脆弱性は増え続ける一方で、開発チームの迅速かつ効率的な対処の重要性が明らかになっています。しかし、脆弱性を発見するだけでは不十分です。その膨大さを考えると、違反リスクを低減するためには、どの脆弱性を優先して修正すべきかを適切に判断する方法が必要です。このような環境で開発を行うには、優先順位を付けて広範な脆弱性に対応することが重要です。Black Duck® Security Advisories(BDSA)にお申し込みください。
Black Duck Security Advisoriesとは
Black Duck Security Advisoriesは、Synopsys Cybersecurity Research Center(CyRC)が作成した詳細なオープンソース脆弱性の記録です。Black Duckは、ソフトウェア部品表(BOM)の品目に影響を及ぼす脆弱性に関する実践的なアドバイスや詳細情報を提供するアドバイザリサービスです。この提案を活用することで、脆弱性に対する理解を徹底し、組織にもたらすリスクを評価するために必要なデータポイントを確保することができます。
アドバイザリの活用方法
CyRCは、Black Duckをご利用のお客様のBOMに基づいて脆弱性に関する警告を発し、アプリケーションやプロジェクト固有の関連脆弱性情報をお届けします。これらの実践的で詳細なアドバイザリを武器にして、脆弱なコンポーネントを特定し、リスクを評価し、必要に応じて修正を行うことができます。
BDSAのしくみ
生データの分析
堅牢な脆弱性データをご利用いただくために、CyRCは、まず始めに複数のソースの脆弱性情報を分析します。この作業は毎日行われます。
CyRCでは、次の3種類のソースに焦点を当てています。
- ベンダーとプロジェクト: 共通脆弱性識別子(CVE)採番機関は、Apache、RedHat、Google、Ubuntu、Pythonなどのオープンソース・プロジェクトのベンダーと同様に、脆弱性を開示します。
- 独立したリサーチャー:CyRCでは、オープンソース・リサーチャーがセキュリティ問題について論じ、ベンダーが未確認のものも含めて脆弱性を開示しているFull Disclosure、Bug Traq、HackerOneなどのWebサイトをクロールしています。リサーチャーがCVEを申請しなければ脆弱性は公表されないため、これは重要なことです。
- アグレゲーター:CyRCはNational Vulnerability Database(NVD:脆弱性情報データベース)などの脆弱性フィードから情報を収集しています。
データのトリアージ
収集されるデータは膨大なため、効率的なトリアージプロセスが不可欠です。CyRCは収集されたデータを並べ替えてノイズや重複を排除します。データを並べ替えた後、影響を受けるオープンソース・コンポーネントがBlack DuckユーザーのBOMに表示される頻度に基づいて、その他のデータの優先順位を付けます。その後、データは脆弱性分析チームに割り当てられます。
脆弱性アナリストは次の2つの主要機能を実行します。
- 調査とオーサリング:アナリストは各脆弱性を個別に調査し、上級スタッフが調査結果の草案をレビューします。草案が品質基準を満たしていない場合は、差し戻されて改善が求められます。承認されたアドバイザリはシノプシスのナレッジベースに登録され、すぐにBlack Duckハブで利用可能になります。
- 品質レビュー:脆弱性情報は随時変更される可能性があるため、脆弱性データの継続的な監視が不可欠です。こうした変更は、脆弱性に関する追加情報が公開されたり、CyRCの独自調査で新たな悪用可能性の詳細が見つかった場合などに発生する可能性があります。このような不断の変更に対処するために、Black Duckは各BDSAを頻繁にチェックして更新が必要かどうかを確認するレビューサイクルを採用しています。リサーチャーチームは、相対的な重大度に焦点を当てて脆弱性に優先順位を付け、各脆弱性の確認頻度を決めます。
Black Duck Security Advisoriesの特徴/利点
品質
BDSAで提供される情報は優れた品質を誇ります。脆弱性アナリストチームは各アドバイザリに対して厳格な品質基準とガイドラインを設けています。上級アナリストがすべての脆弱性をレビューし、正確性と綿密性を確保しています。NVDや、Black Duckの競合他社では、不正確な記述、内容が古い記述、または未確認の記述が多く見受けられます。
使いやすさ
このように各アドバイザリには精度向上を監督するアナリストによって一般ユーザー向けの概要が記述されるため、コードや攻撃ベクトルなどに潜む脆弱性の所在に関する情報も盛り込まれます。ここまで詳しい情報を提供できるのはBDSA以外にありません。さらに、アナリストは独自のCVSSスコアを一から作成し、重大度に関する高精度なピンポイントのアドバイスを提供します。
ユーザーのために
BDSAで提供される情報は多様なユーザー層向けのわかりやすい内容になっているため、セキュリティの専門家でなくても脆弱性を理解し、対処することが可能です。BDSAには、明快かつ簡潔で、初心者にもわかりやすい内容と専門的な内容が盛り込まれているため、開発/セキュリティのリソースを戦略的に管理しやすくなっています。このような詳細情報と修正に関するアドバイスが含まれていることで、発見された脆弱性を独自に調査するために無駄な時間を割く必要がありません。脆弱性を理解し、優先順位を付け、修正するために必要な情報はすべて、BDSAに適切にパッケージ化されています。
プロセスの違い
効率的なプロセス、広範で豊富なソース、オープンソースへの特化により、重要な脆弱性情報を迅速にご利用いただけます。この点は、時間がかかり、非効率で、重大な脆弱性情報の公開に数週間かかることもあるNVDのプロセスとは大きく異なります。また、BDSAの対象はCVEに限定されません。CVE参考情報のURLが発表されていない脆弱性も存在するため、BDSAはCVE以外の脆弱性も含めてリスクに関する包括的な見解を提示します。さらに、BDSAがオープンソースに特化しているのに対し、他のソースは独自開発ソフトウェアの分析も含めているので、対象範囲が広すぎて処理に時間がかかり、品質が低下する可能性があります。
高精度の情報
- 評価
BDSAはFIRST.orgの規定に準じてCVSS評価システムを活用し、CVSSバージョン2.0および3.xに従って重大度を評価します。BDSAでは、最悪の事態を想定した評価によって高めで不正確なリスク認識を招きがちなNVDの評価をそのまま伝えるのではなく、CyRCが独自に評価を行います。
BDSAは評価に際して、悪用可能性などのさまざまな要素を考慮し、これによってCVSS評価の精度を高めます。さらに、BDSAの評価では現状評価基準が考慮されますが、NVDなどのソースではこの基準が考慮されません。
- 正確なバージョン情報
BDSAでは、独自研究の結果を取り入れ、影響を受けるバージョンを正確に通知します。これに対し、NVDはすべての情報を受け付けるため、実際には影響を受けていないバージョンを誤ってリストに掲載することがあります。
入力の補完
BDSAの入力可能なフィールドはすべて入力されます。入力されない場合は、利用可能な情報がすべて記入されていることを意味し、その旨を示すマークが付けられて、追加情報が提供され次第、入力されます。NVDなどのフィードでは、ステータスの変動が延々と続いた挙句、質問に対する回答もなく、アプリケーションがセキュリティ保護されないまま放置されます。BDSAでは、できる限り完全な情報を速やかに提供します。
価値ある知見を活用する
お客様とお客様の組織の対策の綿密さ、スピード、精度の向上、および全体的なリスクレベルの可視性の向上をBDSAが支援する方法についての詳細は、まず電子ブック「Demonstrating the Value of Black Duck Security Advisories(Black Duck セキュリティ アドバイザリの価値を実証する)」をご覧ください。
Continue Reading
2024 OSSRA レポート:オープンソース・コンポーネントの古いコードのリスク
Apr 17, 2024 / 1 min read
