米セキュリティ企業Contrast Securityは世の中で使われているアプリケーションが内部で使用しているオープンソースのライブラリについて調査した報告書「2021 State of Open-source Security Report」を公開しました。これはJavaや.NET、Nodeで書かれたアプリケーションを分析したもので、多くのアプリケーションが数多くのオープンソースのライブラリを含んでいる実態を示すとともに、そのようなライブラリに脆弱性が存在したり、「悪意のあるコード」が仕込まれたりした場合のリスク、すなわち「アプリケーションのサプライチェーンのリスク」を訴える内容となっています。その一方で、実際には機能として使われていないライブラリが多く、アプリケーションに対する簡易な脆弱性診断では「偽陽性」となるケースが少なくないことも示しています。
Source: インターネットwatch
