“正しいコンテキストと優先順位を” DatadogがDevSecOpsに関するレポート公表

スキャナー攻撃のほとんどは無視できる――Datadogが発表したDevSecOpsに関するレポートはそう指摘する。意外にも思える調査結果だが、増加し続けるセキュリティリスクに対応するには、コンテキストを正しく理解し、優先順位を決定することが不可欠だということを示すものだ。

オブザーバビリティプラットフォームを提供するDatadogは2024年6月4日、開発・運用とセキュリティを統合するDevSecOpsに関するレポートを公表。同日、Datadog Japanがオンラインで記者説明会を開催した。

Datadog Japan シニアデベロッパーアドボケイトの萩野たいじ氏

Datadog Japan シニアデベロッパーアドボケイトの萩野たいじ氏

脆弱性を含むJavaベースのサービスは90%

レポートは2024年2月から4月にかけてグローバルで実施された調査結果に基づく。このレポートによると、プログラミング言語別にみた場合、Javaベースのサービスの90%がクリティカルあるいは高リスクの脆弱性を含んでいる。これは調査した言語のなかで最も高い数値で、他の言語の平均47%を大きく上回っている。

Javaベースのサービスの90%がクリティカルあるいは高リスクの脆弱性を持つ

Javaベースのサービスの90%がクリティカルあるいは高リスクの脆弱性を持つ

Javaのこの脆弱性は、サードパーティのライブラリが有する脆弱性に起因する。しかも、このような影響を及ぼすライブラリのうち63%は、サービスとは間接的な依存関係にある。つまり、サービスが直接使用するライブラリではなく、そのライブラリが使用するライブラリが、サービスの脆弱性の原因となることが多いということだ。

Datadog Japan シニアデベロッパーアドボケイトの萩野たいじ氏は、こうした間接的に使用しているライブラリの脆弱性に対処するためには「スキャン時に全体的に依存関係を調べることが大切」と指摘し、依存関係を常にアップデートすることの重要性を説いた。

また、Javaベースのサービスがクリティカルな脆弱性や高リスクな脆弱性を最も含んでいるのは、Javaそのものの仕組みが原因ではなく、「最も一般的に利用されている言語であるため」と萩野氏は補足した。

続きのページは、会員の方のみ閲覧していただけます。

関連リンク

RELATED ARTICLE関連記事

SPECIAL TOPICスペシャルトピック

スペシャルトピック一覧

NEW ARTICLES新着記事

記事一覧

FEATURE特集

WHITE PAPERホワイトペーパー

ホワイトペーパー一覧
×
無料会員登録

無料会員登録をすると、本サイトのすべての記事を閲覧いただけます。
また、最新記事やイベント・セミナーの情報など、ビジネスに役立つ情報を掲載したメールマガジンをお届けいたします。