本記事はサイバー・セキュリティに関するニュースを集めた情報サイト
「IoT OT Security News」に掲載されている情報から
セキュリティニュースを一部抜粋してご紹介するものです。
記事詳細は下部に記載のURLよりご覧ください。
2022/10/19 InfoSecurity — 専門家たちが、2022年に発見した悪意のオープンソース・パッケージは 8万8000件にのぼり、2019年のデータと比べて 742% の増加となった。それにより示唆されるのは、企業への攻撃における標的面積の急速な拡大である。この数字は、Maven Central のダウンロード数 1310億件/オープンソース・プロジェクト数千件を含む、公開データ/独自データを分析した、Sonatype のレポート 2021 State of the Software Supply Chain で発表されたものである。
同レポートでは、脅威アクターがリポジトリに挿入した悪意のパッケージと、DevOps チームが無作為にダウンロードした偶発的な脆弱性の2つの面から、企業システムに対するリスクの高まりを詳述している。
悪意のアクティビティの急増は、それらの企業内チームがソフトウェアの市場投入までの時間を短縮するために、オープンソース・パッケージを使用するという現状を物語っている。Sonatype は、オープンソースのダウンロード・リクエスト数について、2022年中に3兆件を超えると推定している。
Sonatype は、オープンソースの消費規模が非常に大きく、ソフトウェアの依存関係により複雑さが増すため、開発者が脅威や脆弱性を見逃してしまう可能性があると主張している。
さらに同社は、平均的な Java アプリケーションは現時点で 148件の依存関係を含んでおり、2021年と比べて 20件も多いと述べている。また、平均的な Java プロジェクトは年に 10回のペースで更新されるため、年間で 1500件近い依存関係の変更が生じる。したがって開発者は、作業するアプリケーションごとに、変更を追跡するための情報を探し出す必要があると推定している。
しかし、これらの開発環境においては、可視性が欠如しているようだ。過去1年間にオープンソース・プロジェクトに影響を与えたバグの7件中6件は、推移していいく依存関係によるものだと、Sonatype は発表している。
同社のレポートには、「既知の脆弱性を含むオープンソース Java ダウンロードの 96%は、問題を回避できた可能性がある。その理由は、より良いバージョンが入手可能でありながら、何らかの理由で使用されなかったことにある」と記されている。残念ながら、誤った認識のもとに、多くの組織が運営されているようだ。
・・・
|
|
|
https://iototsecnews.jp/2022/10/19/software-supply-chain-attacks-soar-742-in-three-years/
|
IoT OT Security Newsとは
欧米やアジアのサイバー・セキュリティに関するニュースを集めた情報サイト
日々世界中のセキュリティ系サイトで発信される情報を和訳し記事化しています。
https://www.grcs.co.jp/products/z-today