VMware の OSS 調査:新たな懸念はサプライチェーンの効率と安全性の不足

New security concerns for the open-source software supply chain

2022/10/17 HelpNetSecurity — VMware によると、オープンソース・ソフトウェアは、あらゆる規模の企業におけるソフトウェア・サプライチェーンの重要な要素となっている。しかし、オープンソース・ソフトウェアのサプライチェーンには、新たなセキュリティ上の懸念が存在するため、パッケージング・セキュリティに対する進化したアプローチが求められている。

VMware のレポートである、The State of the Software Supply Chain: Open Source Edition 2022 で明らかにされたのは、コスト効率 (76%)/柔軟性の向上 (60%)/開発者の生産性 (52%) といった項目で、OSS は期待に応えていると明示されている。


それにもかかわらず、顕著な懸念とリスクにより、今年に入ってからのオープンソース・ソフトウェアのプロダクション環境への導入は、95% から 90% へと減少している。OSS において懸念事項の Top-3 のうち2つは、セキュリティに関連するものであり、特に脆弱性を特定して対処する能力に関するものだ。

それらの懸念で1位になったのは、バグパッチや脆弱性修正のコミュニティ依存 61% で、昨年の 56% から大きく上昇した。2位はセキュリティ・リスクの増大 (53%/昨年 47%)、3位はコミュニティからのパッチにおける SLA の欠如 (50%/42%) となっている。

OSS のパッケージング (OSS を社内利用するための作業)は、OSS のサプライチェーンの安全性を確保するために不可欠なものである。しかし、それにより複雑さが増大し、懸念を大きく押し上げる原因となっている。このレポートによると、OSS パッケージングに関する作業/ツール/チームなどの負担が、大半の企業にとって大きすぎるとされ、ソフトウェア・サプライチェーンの効率的なセキュリティ確保が阻まれていることが判明した。

セキュリティを向上させるソフトウェア・パッケージング機能について質問したところ、回答者は次のように答えていた。

  • 60% は、アプリケーション/ランタイム/依存関係/オペレーティングシステム・コンポーネントについて、信頼できるセキュリティ・パッチに迅速にアクセスできることを希望している。
  • 55% は、セキュリティ監査を簡素化するために、すべてのスキャンを一元的に可視化したいと考えている。
  • 51% は、すべてのコンテナに対して、CVE とウイルスのスキャンを自動化したいと回答している。

こうした背景により、2023年におけるユーザー企業は、パッケージング・プロセスの簡素化/効率化を改善し、パッケージングの責任を1つのチームに委ね、タスクを自動化し、パッケージング・ツールを統合することを、検討する必要があるようだ。

オープンソースの活躍が、こういう形で紹介されるのは、とても良いことだと思います。その一方で、セキュリティへの懸念が増していることも、認めざるを得ない事実です。特に、サプライチェーンに関しては、一点突破の攻撃により、広範囲への影響が生じることから、脅威アクターたちにとって、とても魅力的なターゲットになっているようです。よろしければ、Repository で検索、および、カテゴリ SupplyChainAttack を、ご参照ください。 また、この記事のベースになっている、VMware の The State of the Software Supply Chain: Open Source Edition 2022 は、さまざまなデータをインフォグラフィックで示してくれる、とても分かりやすいレポートなので、おすすめです。

%d bloggers like this: