核心概念
オープンソースプロジェクトのメンテナーは、セキュリティ背景が乏しく資金も不足しがちな中で、バグ報告書をレビューし、有効な脆弱性を修正する。
要約
本論文は、オープンソースソフトウェア(OSS)プロジェクトのメンテナーの視点から、バグ報告書レビューの実態を調査したものである。
まず、リスト調査を行い、バグ報告書レビューの利点、課題、有用な機能、望ましい機能の40の特徴を特定した。次に、これらの特徴の重要度をリッカート尺度調査で評価し、プライベートな開示と プロジェクトの可視性が最も重要な利点であり、ハンターの金銭的動機や CVE 重視、レビューへの圧力が最も大きな課題であることがわかった。また、インセンティブ付きの報告や セキュリティメトリクス計算支援が最も有用な機能で、コラボレーション機能やハンターの評判システムが最も望ましい機能とされている。
さらに、インタビュー調査を通じて、OSS プロジェクトメンテナーの脆弱性開示プロセスに対する認識、OSS エコシステムのセキュリティ強化への取り組み、バグ報告書の処理と受け止め方などを詳しく把握した。
本研究は、セキュリティ背景の乏しいOSSプロジェクトメンテナーの視点から、バグ報告書レビューの実態を初めて明らかにしたものであり、バグ報告書レビュープロセスをより受け入れやすいものにするための示唆を提供している。
統計
96%のコードベースにオープンソースソフトウェアが含まれており、76%がオープンソースソフトウェアである。
84%のコードベースに少なくとも1つの脆弱性が含まれており、48%に高リスクの脆弱性が含まれている。
小売・eコマース業界のコードベースでは、過去5年間で高リスクの脆弱性が557%増加している。
引用
"明らかに[これは]愚かなことだ。なぜなら、このソフトウェアには影響しないからだ"
"CVEは非常に奇妙なインセンティブだ"
"一部のローエフォートな報告では、バウンティを得ようとしているだけだと感じる。これが最も煩わしい部分だ"