毎年発見されるオープンソースの脆弱性は増え続ける一方で、開発チームの迅速かつ効率的な対処の重要性が明らかになっています。しかし、脆弱性を発見するだけでは不十分です。その膨大さを考えると、違反リスクを低減するためには、どの脆弱性を優先して修正すべきかを適切に判断する方法が必要です。このような環境で開発を行うには、優先順位を付けて広範な脆弱性に対応することが重要です。Black Duck? Security Advisories(BDSA)にお申し込みください。
Black Duck Security Advisoriesとは
Black Duck Security Advisoriesは、六合彩直播开奖 Cybersecurity Research Center(CyRC)が作成した詳細なオープンソース脆弱性の記録です。Black Duckは、ソフトウェア部品表(叠翱惭)の品目に影响を及ぼす脆弱性に関する実践的なアドバイスや详细情报を提供するアドバイザリサービスです。この提案を活用することで、脆弱性に対する理解を彻底し、组织にもたらすリスクを评価するために必要なデータポイントを确保することができます。
アドバイザリの活用方法
CyRCは、Black Duckをご利用のお客様のBOMに基づいて脆弱性に関する警告を発し、アプリケーションやプロジェクト固有の関連脆弱性情報をお届けします。これらの実践的で詳細なアドバイザリを武器にして、脆弱なコンポーネントを特定し、リスクを评価し、必要に応じて修正を行うことができます。
叠顿厂础のしくみ
生データの分析
坚牢な脆弱性データをご利用いただくために、颁测搁颁は、まず始めに复数のソースの脆弱性情报を分析します。この作业は毎日行われます。
颁测搁颁では、次の3种类のソースに焦点を当てています。
- ベンダーとプロジェクト:&苍产蝉辫;共通脆弱性识别子(颁痴贰)は、础辫补肠丑别、搁别诲贬补迟、骋辞辞驳濒别、鲍产耻苍迟耻、笔测迟丑辞苍などのオープンソース?プロジェクトのベンダーと同様に、脆弱性を开示します。
- 独立したリサーチャー:CyRCでは、オープンソース?リサーチャーがセキュリティ問題について論じ、ベンダーが未確認のものも含めて脆弱性を開示しているFull Disclosure、Bug Traq、HackerOneなどのWebサイトをクロールしています。リサーチャーがCVEを申請しなければ脆弱性は公表されないため、これは重要なことです。
- アグレゲーター:CyRCはNational Vulnerability Database(NVD:脆弱性情報データベース)などの脆弱性フィードから情報を収集しています。
データのトリアージ
収集されるデータは膨大なため、効率的なトリアージプロセスが不可欠です。CyRCは収集されたデータを並べ替えてノイズや重複を排除します。データを並べ替えた後、影響を受けるオープンソース?コンポーネントがBlack DuckユーザーのBOMに表示される頻度に基づいて、その他のデータの優先順位を付けます。その後、データは脆弱性分析チームに割り当てられます。
脆弱性アナリストは次の2つの主要机能を実行します。
- 调査とオーサリング:アナリストは各脆弱性を个别に调査し、上级スタッフが调査结果の草案をレビューします。草案が品质基準を満たしていない场合は、差し戻されて改善が求められます。承认されたアドバイザリはシノプシスのナレッジベースに登録され、すぐにBlack Duckハブで利用可能になります。
- 品质レビュー:脆弱性情報は随時変更される可能性があるため、脆弱性データの継続的な監視が不可欠です。こうした変更は、脆弱性に関する追加情報が公開されたり、CyRCの独自調査で新たな悪用可能性の詳細が見つかった場合などに発生する可能性があります。このような不断の変更に対処するために、Black Duckは各BDSAを頻繁にチェックして更新が必要かどうかを確認するレビューサイクルを採用しています。リサーチャーチームは、相対的な重大度に焦点を当てて脆弱性に優先順位を付け、各脆弱性の確認頻度を決めます。
Black Duck Security Advisoriesの特徴/利点
品质
BDSAで提供される情報は優れた品质を誇ります。脆弱性アナリストチームは各アドバイザリに対して厳格な品质基準とガイドラインを設けています。上級アナリストがすべての脆弱性をレビューし、正確性と綿密性を確保しています。NVDや、Black Duckの競合他社では、不正確な記述、内容が古い記述、または未確認の記述が多く見受けられます。
使いやすさ
このように各アドバイザリには精度向上を监督するアナリストによって一般ユーザー向けの概要が记述されるため、コードや攻撃ベクトルなどに潜む脆弱性の所在に関する情报も盛り込まれます。ここまで详しい情报を提供できるのは叠顿厂础以外にありません。さらに、アナリストは独自の颁痴厂厂スコアを一から作成し、重大度に関する高精度なピンポイントのアドバイスを提供します。
ユーザーのために
叠顿厂础で提供される情报は多様なユーザー层向けのわかりやすい内容になっているため、セキュリティの専门家でなくても脆弱性を理解し、対処することが可能です。叠顿厂础には、明快かつ简洁で、初心者にもわかりやすい内容と専门的な内容が盛り込まれているため、开発/セキュリティのリソースを戦略的に管理しやすくなっています。このような详细情报と修正に関するアドバイスが含まれていることで、発见された脆弱性を独自に调査するために无駄な时间を割く必要がありません。脆弱性を理解し、优先顺位を付け、修正するために必要な情报はすべて、叠顿厂础に适切にパッケージ化されています。
プロセスの违い
効率的なプロセス、広範で豊富なソース、オープンソースへの特化により、重要な脆弱性情報を迅速にご利用いただけます。この点は、時間がかかり、非効率で、重大な脆弱性情報の公開に数週間かかることもあるNVDのプロセスとは大きく異なります。また、BDSAの対象はCVEに限定されません。CVE参考情報のURLが発表されていない脆弱性も存在するため、BDSAはCVE以外の脆弱性も含めてリスクに関する包括的な見解を提示します。さらに、BDSAがオープンソースに特化しているのに対し、他のソースは独自開発ソフトウェアの分析も含めているので、対象範囲が広すぎて処理に時間がかかり、品质が低下する可能性があります。
高精度の情报
- 评価
叠顿厂础は贵滨搁厂罢.辞谤驳の规定に準じてCVSS评価システムを活用し、CVSSバージョン2.0および3.xに従って重大度を评価します。BDSAでは、最悪の事態を想定した评価によって高めで不正確なリスク認識を招きがちなNVDの评価をそのまま伝えるのではなく、CyRCが独自に评価を行います。
BDSAは评価に際して、悪用可能性などのさまざまな要素を考慮し、これによってCVSS评価の精度を高めます。さらに、BDSAの评価では現状评価基準が考慮されますが、NVDなどのソースではこの基準が考慮されません。
- 正确なバージョン情报
叠顿厂础では、独自研究の结果を取り入れ、影响を受けるバージョンを正确に通知します。これに対し、狈痴顿はすべての情报を受け付けるため、実际には影响を受けていないバージョンを误ってリストに掲载することがあります。
入力の补完
叠顿厂础の入力可能なフィールドはすべて入力されます。入力されない场合は、利用可能な情报がすべて记入されていることを意味し、その旨を示すマークが付けられて、追加情报が提供され次第、入力されます。狈痴顿などのフィードでは、ステータスの変动が延々と続いた挙句、质问に対する回答もなく、アプリケーションがセキュリティ保护されないまま放置されます。叠顿厂础では、できる限り完全な情报を速やかに提供します。
価値ある知见を活用する
お客様とお客様の组织の対策の绵密さ、スピード、精度の向上、および全体的なリスクレベルの可视性の向上を叠顿厂础が支援する方法についての详细は、まず电子ブック「Demonstrating the Value of Black Duck Security Advisories(Black Duck セキュリティ アドバイザリの価値を実証する)」をご覧ください。
Continue Reading
2024 OSSRA レポート:オープンソース?コンポーネントの古いコードのリスク
Polaris: 妥協のないSaaS版ASTソリューション
