米Websenseは現地時間10月6日,米Googleが提供を開始した「Google Code Search」は,セキュリティ・ホールを含むソースコードを検索するために使われる恐れがあるとして注意を呼びかけた。

 Google Code Searchは,インターネット上で公開されているソースコードを検索できるサービス(関連記事:ソースコードを検索できる「Google Code Search」)。さまざまな検索オプションを備え,プログラム中の式や文字列,ファイル・タイプ,パッケージ,言語などを条件にしてソースコードを検索できる。圧縮ファイル(zipやrarなど)も自動的に展開して検索する。

 Websenseスタッフのブログによれば,このサービスはプログラマにとって有用であることは確かだが,一方で,セキュリティ・ホールが存在するソースコードを探すことにも使えるだろうとする。

 例えば,

  • セキュリティ・ホールになりそうな関数や式
  • セキュリティ・ホールに関連しそうなコメント
  • ハードコーディングされているアカウント/パスワード(クレデンシャル)
  • デフォルトで設定されているアカウント/パスワード(クレデンシャル)

などを含むソースコードを探すためにGoogle Code Searchを使えるという。

 従来の検索サービス(Google)でも,セキュリティ・ホールが含まれそうなソースコードを探すことはできたが,Google Code Searchでは圧縮ファイルの中を探せる機能などがあるために,より探しやすい状況になっているとする。

米Websenseの情報