オブザーバビリティプラットフォームを提供するDatadogは2024年6月4日、開発・運用とセキュリティを統合するDevSecOpsに関するレポートを公表。同日、Datadog Japanがオンラインで記者説明会を開催した。
レポートは2024年2月から4月にかけてグローバルで実施された調査結果に基づく。このレポートによると、プログラミング言語別にみた場合、Javaベースのサービスの90%がクリティカルあるいは高リスクの脆弱性を含んでいる。これは調査した言語のなかで最も高い数値で、他の言語の平均47%を大きく上回っている。
Javaのこの脆弱性は、サードパーティのライブラリが有する脆弱性に起因する。しかも、このような影響を及ぼすライブラリのうち63%は、サービスとは間接的な依存関係にある。つまり、サービスが直接使用するライブラリではなく、そのライブラリが使用するライブラリが、サービスの脆弱性の原因となることが多いということだ。
Datadog Japan シニアデベロッパーアドボケイトの萩野たいじ氏は、こうした間接的に使用しているライブラリの脆弱性に対処するためには「スキャン時に全体的に依存関係を調べることが大切」と指摘し、依存関係を常にアップデートすることの重要性を説いた。
また、Javaベースのサービスがクリティカルな脆弱性や高リスクな脆弱性を最も含んでいるのは、Javaそのものの仕組みが原因ではなく、「最も一般的に利用されている言語であるため」と萩野氏は補足した。