OSSを利用する多くのソフトウェアで脆弱性対応の不備やライセンス問題が存在する 8
ストーリー by hylom
作ってそのまま、は大いにありそう 部門より
作ってそのまま、は大いにありそう 部門より
オープンソースソフトウェアの管理や監査、セキュリティ調査などを手がける米Black Duckによると、オープンソースソフトウェアを採用する企業の多くで、発見された脆弱性を放置したままにしているという問題があるという(Bluck Duckの発表、ITmedia)。
Black Duckは企業が買収などよって取得したソフトウェアのソースコードの監査を請け負っている。その監査過程でオープンソースソフトウェアに関する問題を多数見つけたという。具体的には、2016年に監査を行った1071のアプリケーションのうち96%が何らかの形でオープンソースソフトウェアを使っており、そのうち60%に脆弱性が含まれていたという。特に、金融関連のアプリケーションでは1つのアプリケーション辺り52の脆弱性が存在しており、そのうち60%が高リスクの脆弱性だったという。また、電子商取引関連でも似たような傾向があり、監査したアプリケーションの83%に高リスクの脆弱性があったそうだ。
また、ライセンスに関する問題も多く発見されているという。同社の監査によると、1つのアプリケーションに対し平均147のオープンソースソフトウェアが使われていたそうだが、監査の結果ライセンス衝突が発生していたものは85%にも上ったという。特に多かったのはGPL関連の問題で、75%のアプリケーションがGPL系ライセンスのソフトウェアを利用していたが、そのうちライセンスで問題がなかったのは45%だけだったそうだ。
Wikipediaのミラーサイト (スコア:0)
何年も前にCCに変わったのに未だにGFDLだよって書いたまま違法な商売をしてる
Re: (スコア:0)
ライセンスって法律なの?
Re: (スコア:0)
締結した契約(法律用語での契約)に反した行動を取るのは違法です。
Re: (スコア:0)
ライセンスは契約ですね。
ライセンスの条項に則っている場合のみ著作権上の許諾を与えるという契約になっています。
影響する法律は著作権法ですね。
そらそうよ (スコア:0)
どっかの大手ディストリビュータからして、『枯れた』と称してアップデート遅れがちだものね。
glibcやgccが多少古くても問題はないだろうけれど、カーネルやOpenSSL等はちゃんと追従してくれなきゃ困るよね。
わざわざLTS版のカーネルやブラウザを採用してるくせして、アップデート遅れがちとか意味わからん。
ディストリからしてそうなのだから、それを利用してる側のセキュリティ意識が低いなんて当たり前っしょ。
何の根拠もなく『うちのは枯れてるから大丈夫』とか言ってそう。
だって (スコア:0)
新機能を考えたりするのと違って、その手の仕事って面倒な上に面白く無いもの。
そういう当たり前の話で考えると、ボランティアベースでは上手く回らない事も多いだろう。
Re: (スコア:0)
つまらなくてもまだ金が出るならいいんだけどね・・・
Re: (スコア:0)
このストーリーの内容はどちらかと言うと企業がGNU汚染を起こしている方についてなのだが。
企業が買収などよって取得したソフトウェアのソースコードの監査を請け負っている。
会社の報告だよ?