オープンソースセキュリティインデックスリストトッププロジェクト

2 人のベンチャー投資家が、最も人気のあるオープンソースセキュリティプロジェクトを追跡するためのインデックスを立ち上げました。

Rain Capital の Chenxi Wang と Atlantic Bridge の Andrew Smyth は先月、Open Source Security Index を発表しました。この Web サイトでは、GitHub アプリケーションプログラミングインターフェース (API) を活用して、「誰にとってもオープンソースセキュリティプロジェクトを簡単に見つける」ことができます。

誰でもサイトにアクセスして、「最も人気があり、最も急速に成長しているオープンソースセキュリティ (OSS) プロジェクト」を見つけることができます。

OSS プロジェクトは InfoSec の世界では不可欠ですが、適切で最新のリストを見つけるのは必ずしも簡単ではありません。そのため、このようなインデックスは、セキュリティチームが日常業務に利用できる OSS プロジェクトの範囲を確認するための貴重なリソースを提供し、リストは現在のセキュリティランドスケープの優れた概要も提供します。

また読む：最高のオープンソース脆弱性スキャナー

プロジェクトのランキング

ランキングの最も興味深い部分の 1 つは、透明性のある方法論です。作成者は、上位 100 の GitHub プロジェクトをリストするために、6 つのメトリックの下でエントリをランク付けしました。

プロジェクトにスターが付けられた回数
プロジェクトへの貢献者の数
過去 12 か月間のプロジェクトのコミット数
ウォッチャーの数
前月のウォッチャー数の変化
フォークの数

GitHub API は非常に便利で、多くの有用なデータが含まれているため、インデックスはさまざまな基準を考慮して重み付けを適用できます。たとえば、ウォッチャーの数はスコアのわずか 5% ですが、プロジェクトが過去 12 か月に行ったコミットの数は 25% です。

インデックスは、積極的に維持されているプロジェクトを促進するのに役立つはずです。また、星の数が最も重要であり、スコアの 30% を占めることにも注意してください。たとえば、執筆時点では、Osquery の 19,678 に比べて Sigma の星の数は 5,805 しかないとしても、Osquery は Sigma に遅れをとっています。

Wang 氏によると、このランキングでは、投稿者数からボットや匿名アカウントは除外されています。

GitHub API にラベル (タグ、トピック) がないプロジェクトの手動追加もあります。範囲は「直接的なセキュリティツール」に限定されています。これが、ランキングに Terraform や Elastic などのプロジェクトが見つからない理由を説明しています。

トップ25は現在の傾向を明らかにします

王は書いた ダークリーディング リストのトップ 25 の OSS プロジェクトから 3 つの主要な傾向が明らかになることを示しています。

Metasploit、OSS Fuzz、Atomic Red Team、Zap などのアタックおよびレッドチームのオープンソースツールは引き続き人気があります。
クラウドコンピューティングは現在、Cilium、Trivy、Calico、Sysdig などのセキュリティオペレーションで主流になっています。
Nuclei や Sigma などの自動化および as-code ワークフローユーティリティが登場し始めています。

オープンソースソフトウェアには不便が伴いますが、セキュリティチームは、プロプライエタリソフトウェアを開発して展開する代わりに、これらの人気のあるプロジェクトを戦略に活用できます。

Wang 氏によると、これが最近の洗練されたセキュリティチームの運用方法であり、「セキュリティポリシーと運用をコードのように管理する」ことによって行われます。

また読む: Metasploit フレームワークの開始: ペンテストのチュートリアル

トップ5言語

執筆時点で、最も人気のあるセキュリティプロジェクトは、Python (55%)、JavaScript (31.6%)、Go (25.3%) で書かれています。

C と Ruby は 17.7% と 12.7% で、それぞれ 4 位と 5 位です。

これらのプログラミング言語は非常に人気があるため、これは驚くべきことではありません。ほとんどの PoC (概念実証) とデモは同じ言語で記述されています。

Cookie	Duration	Description
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

オープンソースセキュリティインデックスリストトッププロジェクト

プロジェクトのランキング

トップ25は現在の傾向を明らかにします

トップ5言語

ランキングは時間の経過とともに進化します

Leave a Comment Cancel Reply