セキュリティバグ修正におけるCVE 情報の実証実験に向けて

全文

(1)ウィンターワークショップ2018・イン・宮島 IPSJ/SIGSE Winter Workshop 2018 in Miyajima (WWS2018). セキュリティバグ修正における CVE 情報の実証実験に向けて中野大扉1,a). 亀井靖高1,b). 佐藤亮介1,c). 鵜林尚靖1,d). 概要：ソフトウェア開発において，依存関係があるライブラリにセキュリティバグが発生した場合に，それに対応することがある．本研究では，セキュリティバグの識別子である CVE(Common Vulnerabilities and Exposures) が，OSS 開発内でどのように扱われているかを明らかにすることを目的とする．本稿では，今後行う分析の方針を示す．. 1. はじめに. CVSS を測定した日を示す公開日，脆弱性の種類を示す CWE(Common Weakness Enumeration)，脆弱性の影響を. ソフトウェア開発において，バグ修正は開発内で作成し. 受ける OSS 名，脆弱性情報の URL が含まれている．2017. たコードの修正だけではなく，利用しているライブラリに. 年 7 月 15 日時点で NVD から提供されている CVE のデー. バグが発生した際にも修正を行わなければいけない．その. タ数は 87,066 件である．. ため，開発者は，依存関係があるライブラリのバグ情報を把握しておく必要がある．. 本研究では，CVE が公開された日付をデータとして扱いたいと考えている．しかしながら，NVD から提供されて. セキュリティバグの情報を識別するための識別子とし. いるデータには，CVSS を測定した日付を示す公開日は提. て，CVE(Common Vulnerabilities and Exposures) が存在. 供されているものの，CVE 情報が公開された日付は提供さ. する．CVE は OSS 開発内で利用されている．例として，. れていない．ここで，CVSS の測定について図 1 を基に説. GitHub 内での開発ではセキュリティバグを修正したコミッ. 明する．最初に，プロジェクトの開発者が脆弱性の修正を. トのコメントに，修正を行った脆弱性に割り当てられてい. 行い，CVE 情報を公開する．CVE の DB を運営している. る CVE を記述する場合がある．また，Issues 内の問題報. 組織（NVD はその組織の一つ）は，公開された CVE の情. 告や議論で利用される場合がある．しかし，それらが具体. 報を基に CVSS を測定し，DB に情報を登録する．よって，. 的にどのように利用されているかは調査されていない．. 脆弱性の公開日と CVSS を測定した日付は異なることが. 本研究では，OSS 開発内で CVE 情報がどのように扱わ. ある．この日付の差をできるだけ少なくするために，本研. れているのかを明らかにすることを目的とする．本研究に. 究では RedHat，JVN，Rapid7，WindRiver からも CVSS. よって，依存関係のある開発プロジェクト間において，セ. を測定した日付を示す公開日を取得した．CVSS は CVE. キュリティ情報伝達を促進できる可能性がある．. 情報が公開されてから測定されるため，CVSS を測定した. 2. データセット 2.1 CVE. 日付は公開日より早くなることはない．加えて，NVD 及び RedHat のデータを目視調査した結果，多くの場合は. OSS から公式に出されている CVE の公開日当日，または. 本研究では CVE のデータとして，NVD(National Vul-. 数日以内に CVSS を測定していることが分かった．よっ. nerability Database) から提供されているデータを利用し. て，NVD，RedHat，JVN，Rapid7，WindRiver の CVSS. た*1 ．このデータには，CVE-ID のみでなく，脆弱性の危険. を測定した日付のうち，最も早いものを CVE 情報の公開. 度を示す CVSS(Common Vulnerability Scoring System)，. 日とした．. 1 a) b) c) d) *1. 九州大学大学院システム情報科学府 [email protected] [email protected] [email protected] [email protected] https://nvd.nist.gov/vuln/data-feeds. ©2018 Information Processing Society of Japan. 2.2 GitHub 本研究では，データセットとして Gousios らが提供する. GHTorrent を利用する [1]．GHTorrent は，GitHub に登. 18.

(2) ウィンターワークショップ2018・イン・宮島 IPSJ/SIGSE Winter Workshop 2018 in Miyajima (WWS2018). た OSS のカテゴリに応じて解決されるまでの期間と相関. CVE-IDと共に脆弱性修正情報の公開. 関係があるかどうかを調査する． CVE情報. 4. 脆弱性情報はどのように波及しているか. 開発者 DBにCVEとCVSSを登録. CVSSを計算. NVD. 動機．「あるプロジェクトで CVE に関係する変更，更新. DBにCVEとCVSSを登録. が起きた際に，利用している OSS も変更しなければいけ. CVSS CVSSを計算. CVSS. RedHat. 図 1. ないが，実際には対応していない」といった状況があった場合に，その旨を通知するような機能があれば開発に役立. CVEのDB運営者. てられることが期待できる．本研究では，上記のような状. CVSS の測定手順. 況が実際の OSS 開発内に存在するかどうかを調査する．問題報告及び議論内に CVE-IDが含まれている. 開発者 10 かつフォークされた数. アプローチ．本研究で GitHub から取得した CVE の修正 10. 情報には，プロジェクト内で発生した脆弱性を修正したも. GHTorrent. CVEに関する問題報告. 研究対象の問題報告. のと，依存関係があるプロジェクトで発生した脆弱性を修. 33,564,779件. 6,463件. 4,163件. 正したものの 2 つがある．本研究では，この 2 つを分類す. 図 2. GitHub のデータセット数. るために以下の操作を行う．CVE 情報から，CVE の公開日と関係する OSS 名，GitHub データから OSS 名と問題. 録されている OSS リポジトリのデータを集約しているデー. が解決された日付を取得する．この時，CVE 情報から取. タベースである．. 得した OSS 名と GitHub の OSS 名が等しい場合は，プロ. 登録されているリポジトリには，ソフトウェアの開発だ. ジェクト内で発生した脆弱性を修正したことがわかる．ま. けでなく，ストレージとして利用しているものも存在す. た，CVE 情報に含まれている OSS 名が網羅的に書かれて. る [2]．本研究では，ソフトウェア開発を行っているリポジ. いない可能性も考慮して，GitHub の問題が解決された日. トリのみを対象とするため，開発人数が 10 人未満，又は. 付が CVE の公開日よりも早い場合もプロジェクト内で発. フォークされた数が 10 未満のリポジトリを対象外とした．. 生した脆弱性を修正したと判断する．上記の 2 つ以外の場. フォークとは GitHub から提供されている機能の一つで，. 合は依存関係があるプロジェクトで発生した脆弱性を修正. リポジトリをコピーする機能のことである．. したと判断する．上記の方法で判断した依存関係のあるプ. 本研究では，CVE 情報を取り扱った問題報告及びコミッ. ロジェクトで発生した脆弱性の修正について，CVE が公. トを対象とする．問題報告は，報告のタイトル，本文，及. 開されてから問題が報告されるまでの期間や修正時間の調. び議論内で CVE-ID が含まれているもののみを抽出し，取. 査を行う．. り扱っている CVE-ID，問題報告された日付，問題が解決された日付を取得した．コミットは，コミットコメント内. 5. CVE の扱われ方はどのような種類があるか. に CVE-ID が含まれているもののみを抽出し，CVE-ID，. 動機．CVE に関する修正方法の体系化を行うために，CVE. コミットを行った日付を取得した．. の扱われ方，修正方法のカテゴリ分けを行う．. 上記の方法で作成したデータセットのデータ数を図 2 に示. アプローチ．CVE を扱っているチケットとコミットをラ. す．GHTorrent に含まれている問題報告件数は 33,564,779. ンダムサンプリングし，目視調査にてどのように扱われて. 件であり，そのうち問題報告や議論内に CVE-ID が含まれ. いるのかを分類する．. ているものは 6,463 件であった．このデータを，開発人数. 10 人以上，かつフォークされた数が 10 以上のプロジェクトに存在する CVE-ID を含む問題報告を抽出した．結果，問題報告件数は 4,163 件となり，これを調査対象とした．. 3. CVE に関する問題報告が解決されるまでの時間はどれくらいか. 6. おわりに本ワークショップでは，上記の調査の初期分析結果を示す．ワークショップ内では，テーマの要素技術の一つである，バグ予測やバグの分類の観点から，分析結果や今後の方針について議論を行いたいと考える．. 動機．CVE に含まれる情報から修正時間が推測できれば，. 参考文献. 将来 CVE の問題が発生した際の修正コスト見積もりを行. [1]. える可能性がある．本研究では，CVE と修正期間に関係があるかを調査する．アプローチ．チケットが登録されてから解決されるまでの期間を取得する．CVSS や脆弱性の種類，脆弱性が発生し. ©2018 Information Processing Society of Japan. [2]. Georgios Gousios. The ghtorent dataset and tool suite. In MSR, pp. 233–236. IEEE Computer Society, 2013. Eirini Kalliamvakou, Georgios Gousios, Kelly Blincoe, Leif Singer, Daniel M. Germ´an, and Daniela Damian. The promises and perils of mining github. In MSR, pp. 92–101. ACM, 2014.. 19.

(3)