📗
owasp-open-source-software-top-10-ja
  • OWASP Open Source Software Top 10 ja
  • OWASP オープンソースソフトウェア Top 10 日本語版
    • オープンソースソフトウェア Top 10
    • OSS-RISK-1 既知の脆弱性 (Known Vulnerabilities)
    • OSS-RISK-2 正規パッケージの侵害 (Compromise of Legitimate Package)
    • OSS-RISK-3 名前混乱攻撃 (Name Confusion Attacks)
    • OSS-RISK-4 メンテナンスされていないソフトウェア (Unmaintained Software)
    • OSS-RISK-5 古いままのソフトウェア (Outdated Software)
    • OSS-RISK-6 追跡されていない依存関係 (Untracked Dependencies)
    • OSS-RISK-7 ライセンスのリスク (License Risk)
    • OSS-RISK-8 未成熟なソフトウェア (Immature Software)
    • OSS-RISK-9 未承認の変更 (Unapproved Change)
    • OSS-RISK-10 過小または過大な依存関係 (Under/over-sized Dependency)
Powered by GitBook
On this page
  1. OWASP オープンソースソフトウェア Top 10 日本語版

OSS-RISK-1 既知の脆弱性 (Known Vulnerabilities)

説明:

コンポーネントのバージョンには開発者が誤って導入した脆弱なコードが含まれている可能性があります。脆弱性の詳細は CVE、GitHub Security Advisories、その他の非公式なコミュニケーションチャネルなどを通じて、一般に公開されます。エクスプロイトやパッチは利用できることもできないこともあります。

脆弱性はダウンストリームソフトウェアのコンテキストで悪用される可能性があり、それぞれのシステムやそのデータの機密性、完全性、可用性を脅かしたり、ターゲット環境でラテラルムーブメントを可能にしたり、その他の悪影響を及ぼす可能性があります。

事例:

  1. CVE-2017-5638 Apache Struts で Equifax データ侵害 の原因となりました

  2. CVE-2021-44228 Apache Log4j で Log4Shell とも呼ばれています

対応:

  1. 既知の脆弱性がある (直接的および推移的) オープンソースの依存関係の存在がないか、アプリケーション、コンテナ、システムを監視します。

  2. たとえば、以下に基づいて分析と緩和に優先順位を付けます。

    • CVSS や EPSS などのスコアやメトリクス

    • エクスプロイトコードの可用性や成熟度などの脅威インテリジェンス、あるいは CISA KEV カタログ で提供されるような、実際に観測された攻撃に関する情報

    • DAST および SAST ツールで、脆弱なコードが依存するソフトウェアのコンテキストで実行可能かどうかを判断します

参照:

  1. OWASP Top 10:2021 A06:2021 - Vulnerable and Outdated Components

Previousオープンソースソフトウェア Top 10NextOSS-RISK-2 正規パッケージの侵害 (Compromise of Legitimate Package)

Last updated 11 months ago