シノプシス ソフトウェア・インテグリティ・グループはブラック・ダックになりました 詳細はこちら

close search bar

申し訳ありませんが、この言語ではまだご利用いただけません

close language selection

ソフトウェア脆弱性スナップショットレポートの調査結果

Black Duck Editorial Staff

Jan 30, 2024 / 1 min read

シノプシスが最近発行した 2023年のソフトウェア脆弱性スナップショット レポートでは、商用ソフトウェアシステムおよびアプリケーションに対して実施された3年間の匿名化データを使用して、Webおよびソフトウェアアプリケーションのセキュリティに対する重大な課題である永続的な脆弱性の暴露に焦点を当てています。

  • 情報の曝露/漏洩とプライバシー
  • 構成ミス
  • トランスポート層の保護が不十分

情報漏えい

情報漏えいは、機密情報が権限のない第三者に公開された場合に発生します。たとえば、Web サイトは、ある種のセキュリティ設定の誤りによって、ユーザー名や財務情報などのユーザーに関するデータの漏えいする可能性があります。

OWASPトップ10には、A01:2021 - Broken Access Control(アクセス制御の不備)カテゴリに基づく情報開示が含まれており、他の脆弱性よりも多くの脆弱性がこのカテゴリに該当すると記載されています。このカテゴリの注目すべき脆弱性には、権限のない攻撃者への機密情報の漏えい、送信データによる機密情報の漏えい、クロスサイト・リクエスト・フォージェリが含まれます。

情報漏えい/公開に関連して、アプリケーションのプライバシー障害は、アプリケーションが適切に設計、実装、またはパッチ適用されていない場合に発生し、その結果、権限のないユーザーがデータやコンテンツにアクセスできる潜在的なプライバシー侵害が発生します。  

これらの脆弱性はシノプシスのセキュリティ・テストサービスで発見されました。

構成ミス

セキュリティの構成ミスは、ネットワークサービス、プラットフォーム、Webサーバー、アプリケーションサーバー、データベース、フレームワーク、カスタムコード、プリインストールされた仮想マシン、コンテナー、ストレージなど、アプリケーションスタックのあらゆるレベルで発生する可能性があります。 このような欠陥により、攻撃者はシステムデータや機能に不正にアクセスできることが多く、場合によってはシステム全体が侵害されることもあります。

セキュリティ設定ミスの蔓延のもう1つの例として、アプリケーションの構成ミスは、OWASP脆弱性トップ10リストで5番目に危険なリスクです。

多くのアプリケーションには、デバッグ機能やQA機能などの開発者機能が付属しており、デプロイ時に非アクティブ化しないと危険なほど安全ではありません。 設定ファイルが適切にロックされていないと、クリア テキスト(誰でも読み取れる暗号化されていないテキスト)が公開される可能性があり、設定ファイルのデフォルト設定がセキュリティを考慮して設定されていない可能性があります。

トランスポート層の保護が不十分

トランスポート層の保護が不十分なセキュリティ上の弱点は、アプリケーションがネットワークトラフィックを保護するための措置を講じていないことが原因で発生します。 認証中にアプリケーションはSSL/TLSを使用することがありますが、多くの場合、アプリケーション内の他の場所でSSL/TLSの使用に失敗し、データとセッションIDが公開されたままになります。

多くのモバイルアプリケーションには、トランスポート層のセキュリティが不十分であるという特有の問題があり、OWASPではOWASP Mobile Top 10 リストのカテゴリを専用にしています。

開発者はどのようにコードを守ることができるか

多層セキュリティアプローチを実装する:静的アプリケーション・セキュリティ・テスト(SAST)などの単一のソリューションに依存するだけでは、構成ミスや情報漏洩などのセキュリティ問題を発見するには不十分な場合があります。 組織は、コーディングの不具合を特定するためにSAST、実行中のアプリケーションを検査するための動的アプリケーション・セキュリティ・テスト、サードパーティのコンポーネントによって導入された脆弱性を特定するためのソフトウェア構成分析、および脆弱性だけでなく構成ミスなどの問題を特定するための侵入テストを組み合わせた多層セキュリティ・アプローチを実装する必要があります。他のテストでは見逃される可能性があります。

セキュリティー・テストを補足する必要があるかどうかを判断する:あなたのチームには、セキュリティ上の不具合をテストするための十分なアプリケーションセキュリティのスキルとリソースがありますか?規制当局や顧客が要求するレベルでソフトウェアをテストする時間はありますか?

オンデマンドのエキスパートによるセキュリティテストでチームを強化できるベンダーを選びましょう

シノプシスは、ペネトレーション・テスト動的アプリケーション・セキュリティ・テスト静的アプリケーション・セキュリティ・テストモバイル・アプリケーション・セキュリティ・テストネットワーク・ペネトレーション・テストレッド・チームIoTおよび組み込みソフトウェア・テスト、シック・クライアント・テストなど、あらゆるテスト・サービスを提供しています。

オンデマンドのリソースでチームを強化し、ソフトウェア、ビジネス、顧客を保護するために、ぜひシノプシスにご連絡ください

報告

2023 年ソフトウェア脆弱性スナップショット レポート

Continue Reading

トピックを探索する