📗
owasp-open-source-software-top-10-ja
  • OWASP Open Source Software Top 10 ja
  • OWASP オープンソースソフトウェア Top 10 日本語版
    • オープンソースソフトウェア Top 10
    • OSS-RISK-1 既知の脆弱性 (Known Vulnerabilities)
    • OSS-RISK-2 正規パッケージの侵害 (Compromise of Legitimate Package)
    • OSS-RISK-3 名前混乱攻撃 (Name Confusion Attacks)
    • OSS-RISK-4 メンテナンスされていないソフトウェア (Unmaintained Software)
    • OSS-RISK-5 古いままのソフトウェア (Outdated Software)
    • OSS-RISK-6 追跡されていない依存関係 (Untracked Dependencies)
    • OSS-RISK-7 ライセンスのリスク (License Risk)
    • OSS-RISK-8 未成熟なソフトウェア (Immature Software)
    • OSS-RISK-9 未承認の変更 (Unapproved Change)
    • OSS-RISK-10 過小または過大な依存関係 (Under/over-sized Dependency)
Powered by GitBook
On this page
  1. OWASP オープンソースソフトウェア Top 10 日本語版

OSS-RISK-5 古いままのソフトウェア (Outdated Software)

PreviousOSS-RISK-4 メンテナンスされていないソフトウェア (Unmaintained Software)NextOSS-RISK-6 追跡されていない依存関係 (Untracked Dependencies)

Last updated 1 year ago

説明:

プロジェクトは (新しいバージョンが存在しますが) 古いままのバージョンのコンポーネントを使用している可能性があります。

依存関係の最新リリースから遅れすぎると、使用中のバージョンに脆弱性が明らかになった場合など、緊急事態においてタイムリーにアップデートを実行することが困難になる可能性があります。また、古いリリースは、特に脆弱性の影響を受けているかどうかといった、最新のバージョンと同じレベルのセキュリティ評価を受けられないかもしれません。新しいバージョンが使用中の現在のバージョンと構文的または意味的に互換性がない場合、アプリケーション開発者は非互換性を解決するために大幅なアップデートや移行作業が必要になるかもしれません。

事例:

  1. Apache Tomcat に影響する脆弱性は

対応:

  1. 依存関係のアップデートを繰り返し行うバックログアイテムを作成します

  2. アップデートの発見と提案を、たとえば、マージやプルリクエストを通じて、自動化します

  3. 変更影響解析ツールを通じて導入や重大な変更を検出します

参照:

  1. OWASP Top 10:2021

  2. 新しいバージョンが利用可能かどうかをチェックするツール:

  3. 重大な変更を検出するツール:

Spring Boot サポート期間
"8.0.x ブランチに対してチェックされず修正されないでしょう"
A06:2021 - Vulnerable and Outdated Components
Versions Maven Plugin
AexPy