「Log4j」脆弱性発見から1年　OSSセキュリティの努力は続く

　Googleが脆弱性スキャン機能「OSV-Scanner」を公開した。オープンソースソフトウェア（OSS）を含むシステムの中に脆弱性がないかを簡単に確認するためのツールだ。OSSはあらゆる場所で利用されているが、それゆえに課題も抱えている。1年前に「Apache Log4j」の脆弱性情報が公開されたが、いまだ脆弱なままのシステムが多く存在すると言われている。

依存性と脆弱性情報をマッチングするOSV-Scanner

　12月13日に公開されたOSV-Scannerは、GoogleのGo言語で作成した脆弱性スキャンツールだ。開発者はこのツールを利用して、自身のプロジェクトが利用するオープンソースのコンポーネントに脆弱なものがないかをチェックできる。Apache License 2ライセンスの下で公開されるオープンソースツールで、開発者は無料で利用できる。

　OSV-Scannerは、Googleが2021年2月にスタートした取り組み「OSV」の一部となる。OSVとは「Open Source Vulnerbilities」の略で、OSSの開発者と利用者の脆弱性トリアージ（対応の優先順位の決定）を改善するための取り組み体系だ。

　その下で、オープンソース向けの継続的ファジングプロジェクト「OSS-Fuzz」から数千もの脆弱性情報をデータベース化した。

　OSV-Scannerはそのフロントエンドとなるもので、プロジェクトの依存性とそれが影響する脆弱性を関連付けたものを開発者に示す。脆弱性がそのままになっている場合、パッチ適用やアップデートを促すメッセージを通知する。