OSS-RISK-1 既知の脆弱性 (Known Vulnerabilities)
Last updated
Last updated
説明:
コンポーネントのバージョンには開発者が誤って導入した脆弱なコードが含まれている可能性があります。脆弱性の詳細は CVE、GitHub Security Advisories、その他の非公式なコミュニケーションチャネルなどを通じて、一般に公開されます。エクスプロイトやパッチは利用できることもできないこともあります。
脆弱性はダウンストリームソフトウェアのコンテキストで悪用される可能性があり、それぞれのシステムやそのデータの機密性、完全性、可用性を脅かしたり、ターゲット環境でラテラルムーブメントを可能にしたり、その他の悪影響を及ぼす可能性があります。
事例:
Apache Struts で の原因となりました
Apache Log4j で とも呼ばれています
対応:
既知の脆弱性がある (直接的および推移的) オープンソースの依存関係の存在がないか、アプリケーション、コンテナ、システムを監視します。
たとえば、以下に基づいて分析と緩和に優先順位を付けます。
や などのスコアやメトリクス
エクスプロイトコードの可用性や成熟度などの脅威インテリジェンス、あるいは CISA で提供されるような、実際に観測された攻撃に関する情報
DAST および SAST ツールで、脆弱なコードが依存するソフトウェアのコンテキストで実行可能かどうかを判断します
参照:
OWASP Top 10:2021