人気のあるJavaロギングライブラリLog4jの今年のダウンロード数は数千万に及びますが、その多くが4年前に初めて出現したCVSS 10.0評価の脆弱性に対して脆弱だったとSonatypeが報告しています。
セキュリティベンダーは2025年のLog4jダウンロードの13%がまだLog4Shellに対して脆弱だと主張し、オープンソースエコシステムにおける持続的なリスクの課題を示唆しています。
「一方には未修正のリスクがあります。つまり、アップストリームでパッチが当たることのない脆弱性です。一方、腐食性リスクもあります。これは修正が存在するにもかかわらず、消費者が移行しないために拡散し続ける脆弱性です」と同社は説明しました。
「Log4jの脆弱性および一緒に使用されている一般的に使用されるcommonsパッケージは、現在、大規模な腐食性リスクの教科書的な例です。」
Sonatypeはその分析をMaven Centralのダウンロードデータから収集し、今年のLog4jダウンロード3億件中4000万件にバグがあったことを明かにしました。
開発者人口が最も多い国の中で、インド(29%)、中国(28%)、日本(22%)はすべてLog4Shellダウンロードの大きなシェアを記録しました。米国(9%)、ブラジル(8%)、フランス(8%)の方が良い成績ですが、それでも数百万件の回避可能な脆弱なダウンロードを占めていると、Sonatypeは主張しています。
Log4Shellについてもっと読む:研究者はLog4Shellバグの影響は誇張されていたと述べています
この問題はLog4jに限定されていません。Sonatypeは、脆弱なコンポーネントを含むダウンロードの約95%がより安全なバージョンが利用可能であり、実際に修正がないコンポーネントはわずか約0.5%であると主張しています。
ベンダーは、開発者がセットアンドフォーゲット依存関係、推移的依存関係のブラインドスポット、セキュリティ姿勢よりも人気に焦点を当てるライブラリ選択の不完全な基準のために、これらの誤りを続けると主張しています。
ソフトウェア構成分析(SCA)などのセキュリティツールは、実行可能なガイダンスがないアラートで開発者を殺到させることで状況を悪化させる可能性があり、一方、プロダクトマネージャーはセキュリティよりも市場投入時間を優先するインセンティブを受け続けます。
不要なリスクの排除
Sonatypeは開発者に以下の方法で既知の不良バージョンのコンポーネントのプルを停止するよう促しました:
- SCAツールとアーティファクトリポジトリを使用して、何件のダウンロードが脆弱であるか、どのコンポーネントがビルドに表示されるか(どのバージョンか)、どのチーム/アプリ/ビジネスユニットが責任があるかを理解する
- コンポーネントの選択方法を変更し、セキュリティ履歴、アクティブメンテナンス、ガバナンス、透明性を優先する
- 安全なバージョンへのアップグレードプルリクエストを自動化し、定期的に非破壊的なアップグレードをバッチ処理し、内部リポジトリで安全なバージョンに自動補完し、誰かが既知の脆弱なバージョンをプルしようとしたときに自動的にアラートを送信する
- アーティファクトリポジトリとCI/CDパイプラインに保護柵を配置して、修正が存在する既知の脆弱なバージョンのダウンロード/使用をブロックする
- 「不要なリスク率」、「修正採択時間」、「ポリシー有効性」などの新しいメトリクスを採用する
翻訳元: https://www.infosecurity-magazine.com/news/log4shell-downloaded-40-million/
