セキュリティ専門のソフト開発会社である米Fortify Softwareは米国時間2008年7月21日,「広く利用されている企業向けオープンソース・ソフト(OSS)の大半はユーザーを深刻なセキュリティ・リスクにさらしている」という調査結果を発表した。
Fortifyが11個のオープンソースJavaアプリケーションを調査したところ,検出したクロス・サイト・スクリプティングは計2万2828件,SQLインジェクションは計1万5612件にのぼった。
この調査では,対象アプリケーションについて2~4種類の異なるバージョンをダウンロードし,脆弱性のチェックや,セキュリティに関する問い合わせなどをOSSコミュニティに対して行った。調査対象としたOSSコミュニティは,Derby, Geronimo, Hibernate, Hipergate, JBoss, Jonas, OFBiz, OpenCMS, Resin, Struts, Tomcatの11組織。
OSSコミュニティが提供しているセキュリティ・リソースが不十分なことも分かった。各OSSに関して,脆弱性を通知できる専用メール・アドレスの有無,セキュリティ情報へのリンクの有無,セキュリティ担当者へのアクセスのしやすさについて調べたところ,すべての要件を満たしているのはTomcatだけだった。
次いでJBossがセキュリティ情報へのリンクとセキュリティ担当者への容易なアクセスを提供していたが,その他のOSSコミュニティで要件を2つ以上満たしているものは皆無だった。
すべてのOSSにおいて,3度のバージョン更新にまたがって解決されていない問題が見つかった。長いものでは1年以上,脆弱性を見過ごしている場合があった。また,新たなバージョンがリリースされるたびに脆弱性が増加するか,ほぼ同程度の脆弱性が見つかっていたという。
