Linuxカーネルにおける脆弱性修正状況の調査

オープンソースソフトウェアを利用している情報システムにおいて， Linux カーネルが用いられる事は多い．Linux カーネルの開発は開発者コミュニティが担い，脆弱性報告に対するセキュリティ対応として脆弱性修正のためのソースコード変更が行われる．既存のセキュリティ対策では，Linux カーネルのバージョン情報に基づいたカーネル脆弱性の危険性の把握，ならびにカーネル脆弱性の攻撃利用可能性を調査し，被害を受ける可能性に基づきLinux カーネルの更新が促される．しかし，Linux カーネルの利用オープンソースソフトウェアを利用している情報システムにおいて， Linux カーネルが用いられる事は多い．Linux カーネルの開発は開発者コミュニティが担い，脆弱性報告に対するセキュリティ対応として脆弱性修正のためのソースコード変更が行われる．既存のセキュリティ対策では，Linux カーネルのバージョン情報に基づいたカーネル脆弱性の危険性の把握，ならびにカーネル脆弱性の攻撃利用可能性を調査し，被害を受ける可能性に基づきLinux カーネルの更新が促される．しかし，Linux カーネルの利用者にて，Linux カーネルにおける脆弱性修正時にどのようなソフトウェアパッチが適用されているか，また，脆弱性種別毎のソースコード変更状況を把握することは難しい．本稿では，このような課題の解決の一助として，Linux カーネルに関する脆弱性情報と脆弱性修正に伴うソースコード変更状況を調査した．本調査により，Linux カーネルにおける脆弱性種別毎の脆弱性修正のソフトウェアパッチの傾向，ならびに脆弱性修正前後のソースコード変更状況を自動的に解析し，把握できることを確認した．評価にて，Linux カーネルの脆弱性修正のソフトウェアパッチはカーネル脆弱性3,121 件に対して，2,035 件確認でき，ソースコードの修正行数は平均16.0 行追加，平均15.5 行削除，変更状況は平均2.69%と脆弱性修正に伴う変更が僅かなことを明らかにした．また，Linux カーネルの脆弱性に関する本調査の計算コストを検証した．

The development of the Linux kernel is the responsibility of the developer community, which fixes vulnerabilities as they are reported. It is difficult for Linux kernel users to know what software patches are applied to fix vulnerabilities in the Linux kernel and how much source code is changed for each type of vulnerability. To help solve these problems, we conducted a survey of vulnerability information on the Linux kernel and the status of fixes for each vulnerability in the Linux kernel. This survey revealed trends in software patches for each vulnerability type in the Linux kernel, as well as the source code before and after the vulnerability was fixed. The study confirmed that it is possible to understand the trends of software patches for each vulnerability type in the Linux kernel and the changes in source code before and after the vulnerability was fixed.