Snyk トップ10: 知っておきたい脆弱性
Snyk のスキャン結果とセキュリティ調査に基づき、プロジェクトに出現する可能性が非常に高い脆弱性を確認しておきましょう。安全を確保し、知識を身につけ、セキュリティ事故を起こさないようにしましょう。
2022 年の調査結果
ファーストパーティコードの脆弱性トップ 10
2022 年の Snyk セキュリティインテリジェンスによる調査に基づいて、「Snyk トップ10: コード脆弱性」レポートに、コードを記述する際に発生する頻度が高いリスクについてまとめました。トップ 3 は以下のとおりです。
ディレクトリトラバーサル
ディレクトリトラバーサル (別名パストラバーサル) は、認証されたフォルダーの外部に保存されているファイルやディレクトリへの不正アクセスを狙う攻撃です。
クロスサイトスクリプティング (XSS)
クロスサイトスクリプティング (XSS) は、インジェクションを利用して信頼性の高いウェブサイトに悪意のあるスクリプトを埋め込むウェブサイト攻撃の手口です。
ハードコードされた認証情報
認証情報がコードに直接記述されているとハードコードされるため、ソースコードにアクセスできればその認証情報にもアクセスできるようになります。
言語を選択
言語別のファーストパーティコードの脆弱性
1 ~ 2 言語のみを使用している場合は、最も頻繁に使用しているエコシステムで当社のセキュリティ研究者が発見したコード脆弱性のトップ 10 をぜひご確認ください。
Snyk トップ10
2022 年のトップ 10 コード脆弱性
2022 年のオープンソースおよびファーストパーティで最多だったコード脆弱性に関する Snykトップ10 レポートをご覧ください。
2022 年の調査結果
OSS の重大度が高い/非常に高い脆弱性トップ 3
2022 年のユーザーによるスキャン結果に基づいて、「Snyk トップ10新しい: オープンソースの脆弱性」レポートに、発生する頻度が高い OSS のリスクについてまとめました。トップ 3 は以下のとおりです。
Denial of Service (DoS)
DoS 攻撃は、ネットワークやサーバーへのアクセスを遮断する目的で、ターゲットにその負荷を処理できないほど大量のリクエストを集中的に送信します。
リモートコード実行 (RCE)
RCE 攻撃は、ハッカーが本来アクセスできないはずのリモートシステムからコマンドを実行できる場合に発生し、マルウェアの侵入や攻撃などにつながります。
信頼できないデータのデシリアライズ
アプリケーションが、結果として得られるデータが有効であることを十分に検証せず、信頼できないデータをデシリアライズした場合、攻撃者が状態や実行フローを不正に操作できるようになります。
言語を選択
言語別のオープンソースの脆弱性
1 ~ 2 言語のみを使用している場合は、利用頻度の高いエコシステムで重大度の高い/非常に高いオープンソースの脆弱性トップ 10 をぜひご確認ください。
コードからクラウドまで対応するセキュリティインテリジェンス
Snyk のセキュリティインテリジェンスは、公開ソース、開発者コミュニティからのデータ、独自の専門調査、機械学習、ヒューマンインザループ AI を組み合わせて活用しています。
Snyk 脆弱性データベース
Snyk 脆弱性データベースは、オープンソースやコンテナの脆弱性に対して検証された詳細な情報と修正プログラムを提供しています。
Snyk コードナレッジベース
Snyk コードは、最新のコードセキュリティ情報を活用することで、誤検知を減らし、実行可能な修正を提供しています。
統一ポリシーエンジン
Snyk の統一ポリシーエンジンは、同じセキュリティポリシーを Infrastructure as Code (IaC) ファイルとランタイムクラウドリソースに拡張します。