インテルは、AIと社内リサーチチームによる オープンソースのセキュリティ脅威フィードです。インテルは 、オープンソースパッケージの脆弱性を監視し、 公開される前に発見します。 その多くは決して公開されることはありません。
サイレントパッチが適用されたソフトウェアの脆弱性の67%は公表されなかった
オープンソースソフトウェアは文字通り世界を動かしています。しかし、オープンソースのセキュリティは大きな懸念事項でもあります。オープンソースツールも他のあらゆるものと同様に、セキュリティ上の脆弱性をもたらす可能性があります。これらは攻撃者によってエクスプロイト 利用され、ソフトウェアベンダーが自らの過失なく攻撃に晒される結果となります。このため、オープンソースのセキュリティは非常に重要な課題なのです。
私たちは、オープンソースコミュニティにこれらのツールの構築と保守を依存しているだけでなく、既知のセキュリティ脆弱性を修正することも依存しています。重要なことは、脆弱性が 発見されたときに、その脆弱性を公に報告 することです。コミュニティからの脆弱性の公開は、オープンソースのセキュリティの基礎を形成します。
サイレント・パッチ(シャドウ・パッチ)とは、セキュ リティ修正が適用(パッチ適用)されているにもかかわらず、公表されな いパッチのことである。これは、ベンダーがリスクを認識しないまま脆弱なソフトウェアを運用している可能性があることを 意味するため、大きな問題となる。
私たちは開始します Aikido インテルは、ユーザーに影響を与える可能性のある、密かに修正されたソフトウェアを闇から引き出す取り組みを開始します。 Aikido インテルを通じて、開発者に影響を与える可能性のある脆弱性を発見した場合、可能な限り早期に警告を発し、オープンソースのセキュリティを向上させることができます。
合気道とは何か Aikido とは?
Aikido Intelは、AIと社内研究チームによる取り組みであり、オープンソースのサプライチェーンにおける脆弱性を可能な限り早期に発見することで、オープンソースのセキュリティを向上させることを目的としています。脆弱性 公開される前段階での発見を目指しています。これを実現するため、カスタムトレーニングを施した大規模言語モデル(LLM)を用いてパッケージの変更内容を検証し、セキュリティ問題が修正されたタイミングを特定します。
すべてのソフトウェアと同様に、オープンソースは各新バージョンで調整された内容の変更ログを保持しています。インテルはAIを活用し、これらの公開変更ログとリリースノートをすべて読み取り、セキュリティ問題が修正された事例を特定します。その後、脆弱性 と照合し、問題が報告されているかを確認します。未報告の場合、セキュリティエンジニアが脆弱性 分析・評価脆弱性 Aikido 脆弱性 と深刻度を割り当て、公開することで影響の有無を通知します。詳細は後述します。
Aikido インテルの数値データ
1月の開始以来 Aikido、 インテルは511件の脆弱性を発見しました を特定しました。これらは修正済みですが、公には開示されておらず、これらのパッケージを使用するすべての人々に現実的な脅威をもたらしています。
脆弱性 修正してから脆弱性 その問題にCVE番号が割り当てられる脆弱性 時間がかかる場合があります。毎週 Aikido は過去の脆弱性の状況を再評価し、CVEが割り当てられたものがないか確認しています。当社が発見した脆弱性の67%は、脆弱性 公開されたことがないことを明かします!
深刻度が低い脆弱性ほど頻繁にサイレント・パッチが適用されるのは驚くことではないが、深刻度が高く重要な脆弱性の50%以上が公表されないというのは衝撃的である。これは、開発者やソフトウェア・ベンダーにとって大きな盲点となる。
さて、皆さんの中には、おそらくこれらはセキュリティ・ポリシーが限定的な、あまり人気のない、小さなオープンソース・プロジェクトなのだろう、と席を立ってもじもじしている人もいるだろうが、実はそれは間違いだ。私たちは、いくつかの非常に大規模なプロジェクトで、公表されていない脆弱性を発見しました。.
Axiosは、ブラウザとNode.js向けのPromiseベースのHTTPクライアントであり、週間ダウンロード数は5600万回、依存関係は14万6000以上を有する。2024年1月、これまで公に開示されたことのないプロトタイプ 脆弱性 修正した。
この脆弱性に関する豆知識: 実はこれが最初の脆弱性でした脆弱性 Aikido インテルが発見したものです(2023-10001を参照)…そして今日に至るまで非公開のままです!
さて、彼らに譲りたくはないが、Axiosだけが特筆すべき存在ではない。他にもいくつか名指しで称賛に値する存在がある。Apacheは、公開されることのなかったクロスサイトスクリプティング脆弱性 、ecartsソフトウェアにひっそりと修正していた。
私たちが発見したもう一つの興味深い事例は、Chainlitにおけるクリティカル脆弱性 であり、これは9月に修正されたものの、脆弱性 公に開示脆弱性 。
最も一般的な脆弱性
クロスサイトスクリプティングは、機密情報の漏洩(12.3%)脆弱性 .脆弱性 最も脆弱性 。全体では90種類の異なる脆弱性を検出し、結果にロングテールが生じました。以下に最も一般的なものをいくつか示します。
発見された最も一般的な脆弱性
キューティクルと高度の脆弱性だけを見てみると、リモート・コード実行がリストの1位を占めており、少し違った様相を呈している。
発見された最も一般的な脆弱性 - クリティカルとハイのみ
開示までの時間
この記事を書いている時点では、67%のパッケージが脆弱性を公表していないが、31%は公表している。脆弱性を公開したパッケージのうち、パッチがリリースされてから CVE が割り当てられるまでにかかった日数は平均 27 日でした。私たちが観測した最短時間はわずか1日で、 最長時間は9ヶ月だった!
インテルの仕組み(詳細)
新しいAIのくだらない話には皆うんざりしているのは承知しているが、インテルは Aikidoのセキュリティ研究チームと AikidoのAIチームは「ヒューマン・イン・ザ・ループ」方式でAIを活用し、オープンソースセキュリティ向上のための公開脅威フィードを提供しています。
インテルは、公開されているすべての変更履歴とリリースノートを読み込み、セキュリティ修正が実施されたが公表されていないかどうかを把握します。これを実現するため、2つのLLMモデルが使用されます。1つはデータのフィルタリングと不要な文脈の除去を担当し、もう1つの脆弱性 集中できるようにします。その後、人間のセキュリティエンジニアがLLMの発見内容をレビューし、結果を検証します。脆弱性 場合に限り、インテルがリリースされます。
これは、脆弱性のためにこれらすべてのシステムをスキャンしようとするよりも著しく少ない計算能力を消費するため、このように効果的な方法である。とはいえ、1年以上かけて多くの真の結果を見つけることが証明されている。
変更履歴の閲覧方法 Aikido インテル
チェンジログとは、オープンソースプロジェクトにおいて更新、バグ修正、機能追加、パッチを記録するために維持されるドキュメントである。例として以下が挙げられる。 CHANGELOG.md ファイル、コミットメッセージ、GitHubのリリースノート。
インテル® LLM は、セキュリティ関連の変更を示唆するエントリーを特定するために、以下の項目を検索する:
- キーワード:「脆弱性」、「セキュリティ」、「修正」、「エクスプロイト」、「入力検証」など
- 文脈上の合図:「重大なバグを修正した」、「バッファオーバーフローを修正した」、「認証の問題を解決した」。
LLMがフラグを立てたエントリー例:- ログインハンドラーにおける入力サニタイズの問題を修正しました。
- サービス拒否攻撃につながる可能性のあるメモリリークを解決しました。
- ファイルアップロード機能脆弱性 パストラバーサル脆弱性 に対処しました。
オープンソースのセキュリティ、脆弱性の適切な開示方法
前述の通り、公開開示はオープンソースセキュリティの重要な要素である。脆弱性 する場合、複数の異なるデータベースが公開に利用される。主要なデータベースは米国政府が管理するNational脆弱性 (NVD)である。このデータベースは企業がサプライチェーンを検証するだけでなく、プロジェクトを本データベースや他データベースと照合するセキュリティソフトウェア(SCA )にも活用されている。 他にも、MITREの共通脆弱性情報データベース(CVE)、GitHubアドバイザリデータベースなど、複数のデータベースが存在し、総計で Aikido は5つの異なるデータベースに対してチェックを行います。しかし、これらのデータベースのほとんどに共通しているのは、脆弱性が公開される必要があるという点です。通常、修正プログラムがリリースされた後に公開されます。
なぜ脆弱性が公表されないのか?
これは良い質問であり、脆弱性を開示しない正当な理由はないということから始めたい。おそらく最も一般的なのは、あなたのソフトウェアが安全でないとみなされるかもしれないという風評リスクでしょうが、私は、開示することよりも開示しないことで失うものの方がはるかに大きいと主張します。
シャドーパッチがオープンソースのセキュリティにとって問題である理由
ソフトウェアの脆弱性を公表しないことは、ユーザーにとって大きなリスクとなる。 壊れていないなら直すな 」ということわざがあるように 、これはソフトウェアにもよく当てはまります。
ソフトウェアのコンポーネントをアップデートすると、パフォーマンスやユーザビリティに問題が生じたり、単にアプリケーションが壊れたりすることがよくあります。このようなことを念頭に置いて、新しいバージョンが利用可能になったらすぐにパッケージをアップデートするというのは、必ずしも一般的なやり方ではありません。
しかし、コンポーネントにセキュリティ上の問題がある場合、オープンソースやサードパーティのコンポーネントをアップデートする緊急性が変わるため、それを知ることは重要です。この情報が開示されないということは、ユーザーがアップデートをする可能性が低いということであり、つまり、ユーザーが知らないうちにツールにセキュリティ上の欠陥があるということである。
隠れた脆弱性によってセキュリティが損なわれないようにしましょう。
パートナーとして Aikido セキュリティと提携し、サプライチェーンを保護し、安心を手に入れましょう。
今すぐソフトウェアを保護しましょう
