https://securityboulevard.com/2022/02/open-source-a-persistent-risk-log4j-vulnerabilities-will-linger/
ムーディーズインベスターズサービスのレポートによると、ハッカーがコードのセキュリティ上の欠陥を悪用することに焦点を当てているため、フリーでオープンソースのソフトウェア(FOSS)は組織にリスクをもたらし続けます。
たとえば、オープンソースのLog4jの脆弱性の場合、組織がセキュリティの欠陥にパッチを適用し終えるまでに3〜5年が経過する可能性があります。
彼は、Log4jの脆弱性に対処するには、ロギングライブラリが広く採用されていることと、企業がサードパーティのライブラリを維持するのが複雑であるため、かなりの時間が必要であると指摘しました。
「Log4jが示したように、常にリスクがありますが、コードの透明性と欠陥を修正できる速度によって、リスクは軽減されることがよくあります」と彼は言いました。
「歴史的に、オープンソースソフトウェアはより優れたセキュリティと透明性を提供してきましたが、Log4jのような主要な脆弱性はその評判を傷つける可能性があります」
コードとオープンソースパッケージのセキュリティ上の欠陥と脆弱性の防止、欠陥の発見と修正のプロセスの改善、修正の配布と実装の応答時間の短縮です。
オープンソースの永続的なリスク、Log4jの脆弱性は長引く、Nathan Eddy
security summary
コメント