オープンソースプロジェクトの脆弱性修正にかかる時間が 3 年間で倍以上に増加したとの調査結果

3 days 15 hours ago
headless 曰く、Snyk が Linux Foundation の協力によりまとめた報告書「State of Open Source Security 2022」によると、オープンソースパッケージの依存関係によりソフトウェアサプライチェーンの複雑さが増し、脆弱性の修正にかかる時間が長くなる傾向がみられるそうだ(プレスリリース、 BetaNews の記事)。 オープンソースパッケージは現代的なアプリケーションで重要な要素となっており、開発者は数多くのオープンソースパッケージをプロジェクトで使用する。プロジェクトごとの直接的な依存関係は平均 80、最も多い JavaScript プロジェクトでは平均 174 まで増加する。依存関係は直接的なものだけでなく、推移的 (間接的) な依存関係もある。推移的依存関係は見えないリスクを生むだけでなく、修正も困難だ。脆弱性全体の 40 % が推移的依存関係で見つかっており、プロジェクトごとの平均的な脆弱性の数 49 に対し、18 ~ 20 が推移的依存関係から発生することになる。 その一方でオープンソースソフトウェア (OSS) の開発・利用に関するセキュリティポリシーを確立している組織は 49 %。組織内の OSS のセキュリティを信頼していないという回答は 41 % にのぼる。ただし、72% は 2022 年末までにある程度以上のセキュリティを確保できると回答しているという。オープンソースプロジェクトで脆弱性が修正されるまでの (平均) 時間は 2018 年の 49 日間から 2021 年には 110 日間まで増加しており、プロプライエタリプロジェクトよりも 18.75 % 長い時間を要するとのことだ。

すべて読む | オープンソースセクション | オープンソース | セキュリティ | デベロッパー |

関連ストーリー:
国内でVLC media playerの脆弱性を利用したサイバー攻撃。PC Matic発表 2022年05月18日
解凍・圧縮ソフト「7-Zip」に未修正の脆弱性 2022年04月19日
cURLの作者に大企業から「log4j脆弱性に対する24時間以内の無料サポートを求める」メール届く 2022年01月27日
log4j問題等を受け、米政府がGAFAやApacheらを集めたOSSセキュリティサミットを開催 2022年01月18日
人気オープンソースプロジェクトの脆弱性、1年で倍増 2020年06月11日

nagazou

Microsoft Storeの偽物対策、どうする?

3 days 16 hours ago
あるAnonymous Coward 曰く、GIMP for windowsがMicrosoft Storeで公開されたが、これは偽物対策ということのようだ。(公式、窓の杜) 少し前には、CrystalDiskInfo及びCrystalDiskMarkの開発者であるhiyohiyo氏が、Microsoft Storeに登録された偽物への対応を行った一連の流れをTwitter上で報告している。(5/30のツイート、当該スレッド) Microsoft Store上で公式/非公式の判断がつけばよいのだが、現状ではStore外で公式からの情報を得なければ難しいように思われる。ユーザーとしてどのような点に注意をしているか等、スラド諸氏の意見を求めたい。

すべて読む | セキュリティセクション | セキュリティ | ソフトウェア | Windows |

関連ストーリー:
SourceForge、批判を受けて「無断でのアドウェア入りインストーラ配布」を中止へ 2015年06月02日
SourceForge.net、GIMP for Winの管理権限を奪ってアドウェアを配布 2015年05月28日
GIMP for Windows 、ダウンロードサイトをSourceForge.netからftp.gimp.org に変更 2013年11月08日

nagazou

Microsoft Storeの偽物対策、どうする?

3 days 16 hours ago
あるAnonymous Coward 曰く、GIMP for windowsがMicrosoft Storeで公開されたが、これは偽物対策ということのようだ。(公式、窓の杜) 少し前には、CrystalDiskInfo及びCrystalDiskMarkの開発者であるhiyohiyo氏が、Microsoft Storeに登録された偽物への対応を行った一連の流れをTwitter上で報告している。(5/30のツイート、当該スレッド) Microsoft Store上で公式/非公式の判断がつけばよいのだが、現状ではStore外で公式からの情報を得なければ難しいように思われる。ユーザーとしてどのような点に注意をしているか等、スラド諸氏の意見を求めたい。

すべて読む | セキュリティセクション | セキュリティ | ソフトウェア | Windows |

関連ストーリー:
SourceForge、批判を受けて「無断でのアドウェア入りインストーラ配布」を中止へ 2015年06月02日
SourceForge.net、GIMP for Winの管理権限を奪ってアドウェアを配布 2015年05月28日
GIMP for Windows 、ダウンロードサイトをSourceForge.netからftp.gimp.org に変更 2013年11月08日

nagazou