セキュリティ専門家は、オープンソース・エコシステムにおけるサイバーリスクが急増していると警告しており、2023年に検出された悪意あるパッケージは昨年の3倍に上った。
Sonatypeの第9回 年次ソフトウェア・サプライチェーンの現状レポートは、4000億件を超えるMaven Centralのダウンロードにおける依存関係更新パターンを含む、独自データおよび公開データと分析に基づいてまとめられている。
同社は2023年に245,032件の悪意あるパッケージを検出しており、これは2019~2022年の期間に発生したソフトウェア・サプライチェーン攻撃の2倍に相当する。
価値実現までの時間を短縮するためにこれらのコンポーネントをダウンロードする組織にとって脅威となっているのは、意図的な悪意ある活動だけではない。
またレポートは、2023年に既知の脆弱性を含むオープンソースのダウンロードが21億件あり、より良い修正版が利用可能だったため回避できた可能性があることを明らかにした。これは96%という割合に相当し、1年前と同じである。
Log4jのダウンロードのほぼ4分の1(23%)は、ユーティリティの修正が約2年前にリリースされたにもかかわらず、依然として重大な脆弱性を含むバージョンのままだ。
Sonatypeは、2022年の脆弱なダウンロード全体の3分の2超(65%)に、高または重大(クリティカル)レベルの脆弱性が含まれていたと推定した。
オープンソースの脅威について詳しく読む:オープンソースのサプライチェーン攻撃が430%急増。
認識不足が一因かもしれない。Sonatypeの調査では、回答者の3分の2(67%)が、自社アプリケーションは既知の脆弱なライブラリに依存していないと確信していると答えた。しかし、そのうち約10%は、過去12カ月にオープンソースの脆弱性が原因でセキュリティ侵害を経験したとも主張している。
脆弱性の発見に1週間以上かかる人は約3分の1(29%)で、さらに大きな割合(36%)の回答者は、緩和に1週間以上を要している。
Sonatypeは、オープンソース・プロジェクトのうち時間の経過とともに「積極的に保守されている」のは11%に過ぎないものの、よりリスク意識を高める必要があるのはオープンソースのメンテナーではなく開発者だと主張した。
「多くのメンテナーは非常に勤勉です。大手テック企業は、依存しているライブラリを保守するために有能な人材を雇うことに惜しみなく力を注いでいます」と、SonatypeのCTOであるブライアン・フォックス氏は述べた。
「私たちの業界は、努力を向けるべき正しい場所に注力する必要があります。既知の脆弱性を含むコンポーネントのダウンロードのほぼすべてに修正が存在するという事実は、当面の焦点が、開発者がより良い意思決定者になれるよう支援し、適切なツールへのアクセスを提供することにあるべきだと示しています。」
同氏は、リスクを軽減し無駄な労力を取り戻すために、開発者が最も多くのメンテナーを擁し、最も健全なコントリビューターのエコシステムを持つプロジェクトからのみコンポーネントをダウンロードするようにするには支援が必要だと主張した。
レポートは、オープンソースのダウンロード成長率が過去2年間33%で横ばいである一方、2023年には4兆個を超えるコンポーネントがダウンロードされることを明らかにした。
翻訳元: https://www.infosecurity-magazine.com/news/open-source-supply-chain-attacks-2/
