📗
owasp-open-source-software-top-10-ja
  • OWASP Open Source Software Top 10 ja
  • OWASP オープンソースソフトウェア Top 10 日本語版
    • オープンソースソフトウェア Top 10
    • OSS-RISK-1 既知の脆弱性 (Known Vulnerabilities)
    • OSS-RISK-2 正規パッケージの侵害 (Compromise of Legitimate Package)
    • OSS-RISK-3 名前混乱攻撃 (Name Confusion Attacks)
    • OSS-RISK-4 メンテナンスされていないソフトウェア (Unmaintained Software)
    • OSS-RISK-5 古いままのソフトウェア (Outdated Software)
    • OSS-RISK-6 追跡されていない依存関係 (Untracked Dependencies)
    • OSS-RISK-7 ライセンスのリスク (License Risk)
    • OSS-RISK-8 未成熟なソフトウェア (Immature Software)
    • OSS-RISK-9 未承認の変更 (Unapproved Change)
    • OSS-RISK-10 過小または過大な依存関係 (Under/over-sized Dependency)
Powered by GitBook
On this page
  1. OWASP オープンソースソフトウェア Top 10 日本語版

OSS-RISK-4 メンテナンスされていないソフトウェア (Unmaintained Software)

PreviousOSS-RISK-3 名前混乱攻撃 (Name Confusion Attacks)NextOSS-RISK-5 古いままのソフトウェア (Outdated Software)

Last updated 8 months ago

説明:

コンポーネントやコンポーネントバージョンは今後積極的に開発やサポートされない可能性があります。つまり、新機能やセキュリティバグに対するパッチが開発されない可能性があります。

そのため、パッチの開発は、影響を受けるコンポーネントに関する経験や知識が潜在的に少ないダウンストリーム開発者が行う必要があるかもしれません。

この結果、作業量が増大し、解決に要する時間が長くなる可能性があります。その間、継続的な露出を避けるために、システムへのアクセスや機能を制限する必要があるかもしれません。

事例:

  1. (npm, 2020)

  2. (Go, 2022)

  3. (npm, 2022)

対応:

  1. プロジェクトの活性と健全性の指標をチェックします。

    ただし、アクティビティが少ないことが成熟の証となる可能性もあることに注意してください。機能が完成し成熟したとみなされるプロジェクトは活発に開発が行われているプロジェクトよりもアクティビティが少なくなりますが、問題が発生した場合には依然としてタイムリーにパッチを受け取ることができます。

    指標の例:

    • 最近のイシューとコミットアクティビティはプロジェクトがアクティブであることを意味します。

    • 外部貢献者によってオープンされたイシューの比率が高いことはプロジェクトがアクティブであることを示しています。

    • 企業関連アカウントからのアクティビティはプロジェクトが信頼できる支援とサポートを得られることを示しています。

    • 信頼できるアカウントからのアクティビティはリポジトリが適切に維持されていることを示しています。

    • 頻繁にリリースされているリポジトリはコードベースのメンテナンスとサポートへのコミットメントを示しています。

  2. プロジェクトのメンテナンスやサポート戦略に関する情報 (長期サポート (LTS) バージョンの有無や日付など) を検索します。

    Spring プロジェクトは をドキュメント化している優れた事例です。

  3. プロジェクトページをチェックして、アーカイブされているかどうか、プロジェクトのメンテナンスステータスに関する明示的な記述があるかどうかを確認します。

参照:

OWASP Top 10:2021

Common Weakness Enumeration (CWE)

core-js
Gorilla Web Toolkit
minimist
サポート期間
A06:2021 - Vulnerable and Outdated Components
Bus factor
CWE-1104: Use of Unmaintained Third Party Components
CWE-1329: Reliance on Component That is Not Updateable
Adoptoposs
Jazzband