Open Source Repository Attacks Soar 700% in Three Years
2022/09/21 InfoSecurity — Sonatype の調査結果によると、アップストリームのオープンソース・コード・リポジトリを標的とする悪意の活動の量は、この3年間で3桁の増加に達したという。同社は、新たに公開したデータの中で、ソフトウェア・コンポーネントにマルウェアを仕込むことを目的とした攻撃が、700%増加していることを検出したと主張している。また、同社は、これらのコンポーネントがダウンストリームの DevOps チームに悪影響をおよぼすことで、大混乱が引き起こされる可能性があると述べている。
Sonatype は、様々なオープンソース・リポジトリのパッケージにおいて、過去1年間で 55,000 件以上を、過去3年間では 95,000件近くを、悪意あるものとして新たに検知している。
Sonatype の 共同創業者/CTO である Brian Fox は、「現代において、ほぼ全てのビジネスは、オープンソースに依存している。このようなオープンソース・リポジトリを攻撃の入り口として利用する動きは、明らかに衰えを見せない。そのため、既知/未知のセキュリティ脆弱性の早期発見が、これまで以上に重要になる。悪意のコンポーネントの侵入を事前に阻止することは、リスク予防の基本要素であり、ソフトウェアのサプライチェーン保護に関するあらゆる議論の一部となるべきものだ」と語っている。
Sonatype は、悪意のあるコンポーネントが開発者のマシンにダウンロードされた場合、たとえそれが完成品に使用されていなくても、すでに被害が及んでいる可能性があるため、この種の予防が唯一の方法であると述べている。
同社はまた、手動で脅威を防ぐには、課題の規模が大きすぎるとも述べている。
実際に、Sonatype の 2021 State of the Software Supply Chain Report によると、昨年に世界中の開発者たちは、市場投入までの時間を短縮するために、サードパーティのエコシステムから2兆2千億以上のオープンソース・パッケージやコンポーネントを、借用したと推定されている。
一連のストーリーは、Linux Foundation の今年前半のレポートと一致している。ユーザー企業の5分の2以上 (41%) が、オープンソースのセキュリティに信頼を置いていないと報告されている。また、オープンソース利用をカバーするための、ポリシーを持っていると主張する企業は、わずか半数 (49%) であると報告されている。
また、平均的なアプリケーション開発プロジェクトには、80の直接依存関係にまたがる 49の脆弱性が存在している。また、全体の40%のバグは、見つけにくい間接依存関係に存在していることも判明している。
文中で示唆されているように、オープンソース・コード・リポジトリは、すべてのソフトウェア・サプライチェーンの源流のようなものです。したがって、ここの安全性が脅かされるということは、世界の安全や経済が脅かされるのと同等の脅威になります。Repository で検索すると、PyPI/npm/GitHub などが、この脅威に脅かされている現状が目の当たりとなります。人材から資金に至るまでの、幅広い支援が必要なのだろうと思います。
IoT OT Security News 
You must be logged in to post a comment.