Software Supply Chain Attacks Hit 61% of Firms
2023/05/12 InfoSecurity — Capterra の最新のレポートによると、これまでの1年間において米国企業の5分の3以上 (61%) が、ソフトウェア・サプライチェーンからのダイレクトな影響を受けていたことが分かった。この調査は、サードパーティー・ソフトウェアにおける脆弱性のリスクについて、米国企業の理解を深めることを目的にしたものであり、271人の IT 専門家/IT セキュリティ専門家を対象に実施された。回答者の半数は、ソフトウェア・サプライチェーンの脅威を “High” または “Extreme” と評価しており、さらに 41%は “Moderate” と評価している。
Continue reading “米国企業の 61%でソフトウェア・サプライチェーン攻撃が発生していた – Capterra 調査”Open Source Repository Attacks Soar 700% in Three Years
2022/09/21 InfoSecurity — Sonatype の調査結果によると、アップストリームのオープンソース・コード・リポジトリを標的とする悪意の活動の量は、この3年間で3桁の増加に達したという。同社は、新たに公開したデータの中で、ソフトウェア・コンポーネントにマルウェアを仕込むことを目的とした攻撃が、700%増加していることを検出したと主張している。また、同社は、これらのコンポーネントがダウンストリームの DevOps チームに悪影響をおよぼすことで、大混乱が引き起こされる可能性があると述べている。
Continue reading “オープンソース・リポジトリへの攻撃が3年間で 700% 増加:サプライチェーンの深刻な危機”Google Cloud Aims to Share Its Vetted Open Source Ecosystem
2022/05/18 DarkReading — Google によるセキュリティ対策の恩恵を望む開発者は、Google の開発者がセキュリティ問題を検証し、パッチ適用を把握している、オープンソース・コンポーネントを利用するサービスを、まもなくサブスクライブできるようになる。この Assured Open Source Software (OSS) と名付けられたサービスは、頻繁なスキャンとコード解析により作成されたメタデータで補強される、新たな Supply chain Levels for Software Artifacts (SLSA) フレームワークに準拠する。したがって、Google の署名を受けた、オープンソース・パッケージのバージョンが提供されることになる。
Continue reading “Google Cloud の Assured OSS サービス:審査済みの Open Source コンポーネントを提供”OpenSSF Launches Project to Secure Open Source Software
2022/02/01 SecurityBoulevard — 今日、Open Source Security Foundation (OpenSSF) は、Microsoft と Google から提供された $5 million の初期投資を用いて、オープンソース・ソフトウェアのセキュリティを向上させるための Alpha-Omega プロジェクトを立ち上げた。
OpenSSF の General Manager である Brian Behlendorf は、このプロジェクトの目的について、セキュリティに関する専門知識を広範なオープンソース・ソフトウェア・プロジェクトに提供し、オープンソース・ソフトウェア構築で用いられる DevSecOps ワークフローに組み込むことが可能な、自動セキュリティ・テスト・ツールへのアクセスを提供することだと述べている。
U.S. Government, Tech Giants Discuss Open Source Software Security
2022/01/14 SecurityWeek — 2020年1月13日にホワイトハウス・サミットが開催され、米国の政府と大手ハイテク企業の代表者がオープンソース・ソフトウェアのセキュリティについて話し合った。広く利用されている Log4j ロギング・ユーティリティーに影響を与える脆弱性が、公開/悪用されたことで、オープンソースとソフトウェア・サプライチェーンのセキュリティの重要性が、あらためて浮き彫りになっている。ホワイトハウス・サミットの目的は、オープンソース・ソフトウェアのセキュリティを向上させ、オープンソース・コミュニティを効果的にサポートする方法を特定することだった。
Continue reading “ホワイトハウス OSS セキュリティ・サミット:各ベンダーの声明を集めてみた”White House reminds tech giants open source is a national security issue
2022/01/14 BleepingComputer — Log4J の脆弱性による重要インフラへの脅威を受けて、ホワイトハウスは政府機関や民間企業に対して、オープンソース・ソフトウェアとサプライチェーンの安全確保に向けて、リソースを結集し努力するよう養成した。そのためのサミットが開催され、「オープンソース・ソフトウェアのセキュリティ上の欠陥や脆弱性の防止」「セキュリティ上の欠陥の発見と修正のプロセスの改善」「修正プログラムの提供と展開に要する時間の短縮」という、3つのテーマが取り上げられた。
Continue reading “ホワイトハウスの念押し:ハイテク大手のオープンソースが国家安全保障の問題”Log4j Highlights Need for Better Handle on Software Dependencies
2022/01/04 DarkReading — 新しい年を迎えたが、サイバー・セキュリティ業界は、またしてもソフトウェア・サプライチェーン・セキュリティの悪夢がもたらす、長期化が予測される問題に直面している。アプリケーション・セキュリティのゼロデイ問題が多発した1年の最後に生じた、Log4j の脆弱性 (Log4Shell) の問題は、2021年のテーマに沿ったブックエンドのようなもので、SolaWinds がスタートさせた年を、同じようなかたちで締め括る。
Continue reading “Log4j が明らかにしたもの:ソフトウェアの依存関係と SBoM のすすめ”Google Contributes $1M to Reward Developers for OSS Security
2021/10/01 SecurityBoulevard — 今日 Google は、Linux Foundation により管理される Secure Open Source (SOS) Pilot Program を立ち上げた。このプログラムでは、オープンソース・ソフトウェアの安全性を高める取り組みを行った開発者に対して、$1 million の報酬が提供される。Google Open Source Security Team の Principal Engineer and Manager である Abhishek Arya は、「今回の取り組みは、Google が以前から行ってきた $10 billion 規模のオープンソース・セキュリティへの取り組みの最新版だ」と述べている。
Continue reading “Google が考えるセキュアな OSS:開発者たちに1億円の報奨金を準備する”Jenkins project succumbs to ‘mass exploitation’ of critical Atlassian Confluence vulnerability
2021/09/07 DailySwig — Jenkins Project は、Atlassian のチーム・コラボレーション・ソフトウェアである Confluence の、深刻な脆弱性を狙った広範な攻撃の餌食になったと発表している。先週に、攻撃者たちは、Jenkins における非推奨の Confluence サービスを侵害し、9月4日 (土) には、このオープンソース・オートメーション・サーバーの背後にいるチームのことを明らかにした。
Continue reading “Jenkins Project にも影響:Atlassian Confluence 脆弱性の大量悪用”NIST charts course towards more secure supply chains for government software
2021/06/22 DailySwig — UPDATED 米国の National Institute of Standards and Technology (NIST) は、急増するソフトウェア・サプライチェーン攻撃の脅威に対する連邦政府機関の防御力を強化するために、情報セキュリティ業界から提出された一連の提言をまとめた。
Continue reading “NIST が示す政府機関のためのセキュアなサプライチェーンとは?”
IoT OT Security News 