組織の87%が本番環境に少なくとも1つの悪用可能なソフトウェア脆弱性を有しており、全サービスの40%に影響を与えているという、DataDogからの新しいレポートが明らかにしました。
可観測性とセキュリティの専門家は、数万のアプリケーションからのテレメトリと追加のデータセットに基づくDevSecOps状態レポートでこの調査結果を発表しました。
脆弱性はJavaサービス(59%)で最も一般的であり、その次に.NET(47%)とRust(40%)が続くことに注目しました。
しかし、すべてのCVEが優先度の対象となるわけではありません。DataDogは、ランタイムとCVEのコンテキストに従って重要度スコアを調整した後、重大な依存関係脆弱性の18%のみが重大な状態を保つと主張しました。
これは.NET環境で最も一般的です。Datadog は、コンテキストが考慮されると、.NET依存関係脆弱性の98%が重大から格下げされると述べました。
コンテキストとは、脆弱性が本番環境にあるかどうか、影響を受けたサービスがアクティブな攻撃の対象かどうか、エクスプロイトの利用可能性、および悪用の可能性を意味します。
オープンソース脆弱性の詳細を読む:研究者が454,000以上の悪意のあるオープンソースパッケージを発見。
「ほぼすべてが『重大』とラベル付けされると、何も重大ではありません」とDatadogのセキュリティアドボカシー責任者であるAndrew Krugが主張しました。
「チームはノイズのためにアラートを受け取り、実際のリスクをもたらす脅威はすり抜けます。コンテキストがなければ、優先順位付けはより難しくなり、バーンアウト、遅い対応時間、および蓄積されたリスクにつながります。チームは、実際に対応が必要な内容をより明確に把握する必要があります。」
速くアップデートするが、速すぎてはいけない
レポートはまた、ソフトウェアライフサイクルの両端のセキュリティリスクを明らかにしました。
中央値のソフトウェア依存関係は現在278日古いもので、昨年の数字より63日多いものです。Java(492日)とRuby(357日)の依存関係はさらに悪い状況でした。
より古いバージョンはより多くの脆弱性を持つ可能性が高いため、これは重要だとレポートは主張しました。
サービス別に分析すると、2025年に公開されたライブラリの平均脆弱性は1.3個で、2024年の1.9個と2023年の3.8個と比較されています。
しかし、依存関係をあまりにも速くアップデートすると、開発者を問題に陥れる可能性があります。
レポートによると、半数の組織(50%)がリリースから24時間以内に新しいライブラリバージョンを採用し、コミットハッシュを使用してすべてのパブリックGitHub Actionsを特定のバージョンにピン留めしている組織は4%のみです。
これは無意識のうちに、ビルドおよびデプロイメントパイプラインをサードパーティコードの静かな変更にさらすとDatadogは主張しました。
s1ngularityやShai-Hulud などのサプライチェーン攻撃は、DevOpsチームがリリースされるとすぐに悪意のあるバージョンのライブラリを使用することが部分的な原因で拡がっているとレポートは指摘しました。このリスクを軽減するため、Datadog は依存関係バージョンを完全な長さのコミット Secure Hash Algorithm(SHA)にピン留めすることを推奨しました。
Krugは、セキュリティ慣行が今日のソフトウェア構築方法に追いついていないと主張しました。
「DevSecOpsチームは、遅く移動することと速く移動することの間に挟まっています。ゆっくり進むと、古いソフトウェアが既知の脆弱性を蓄積します。速く進むと、自動化が検証されていないコードを導入できます」と彼は付け加えました。
「しかし、真の課題は速度ではなく、明確さです。環境がより複雑になるにつれて、AI支援ワークフローは最優先事項が最初に注意を受けることを保証するのに役立ちます。」
翻訳元: https://www.infosecurity-magazine.com/news/exploitable-vulnerabilities-in-87/
