Sysdigは11月24日(米国時間)、「The Power of Library-Based Vulnerability Detection. - Sysdig」において、増え続ける脆弱性に対処する際の課題と対策について伝えた。企業や組織が脆弱性に対応するプロセスを次の4つの工程に分類し、3番目にあたる「脆弱性の比較」の課題と対策について解説している。
The Power of Library-Based Vulnerability Detection. - Sysdig
Sysdigによると、一般に公開される脆弱性の情報は不正確であることが多く、脆弱性の比較において正しく影響の有無を判断できないことがあるという。米国国立標準技術研究所(NIST: National Institute of Standards and Technology)が管理している脆弱性情報データベース(NVD: National Vulnerability Database)では、Log4jなどソフトウェア全体に問題があるとして情報提供されているものがあるが、実際には一部のパッケージ(org.apache.logging.log4j.LogManagerなど)だけに影響する脆弱性も存在する。このような不正確な脆弱性の情報により、影響を受けないシステムにおいても誤って評価が行われる可能性がある。
Sysdigはこのような問題に対処するため、GitLab Open Sourceや、GitHub Security Advisory Databasesなど10を超える検出ソースからセキュリティフィードを取り入れている。これらのアドバイザリデータベースには、脆弱性の存在するライブラリに関する詳細な情報が含まれており、従来の脆弱性情報をこれらデータベースによって補完することで、より信頼性の高い比較ができるとしている。具体的な例として、以下4点挙げている。