OSSのサプライチェーン、脆弱性に課題あり：需給は高まるが脆弱性も増加

オープンソースソフトウェアは供給、需要のどちらも大幅な伸びを見せている。しかし脆弱性の管理に弱点がある。ソフトウェアサプライチェーン管理プラットフォームを手掛けるSonatypeが発表した年次調査の報告書によれば、人気の高いプロジェクトでより多くの脆弱性が見つかっている。

» 2021年10月04日 16時00分公開

[＠IT]

この記事は会員限定です。会員登録（無料）すると全てご覧いただけます。

　ソフトウェアサプライチェーン管理プラットフォームを手掛けるSonatypeは2021年9月15日（米国時間）、オープンソースソフトウェア（OSS）について、サプライチェーンの動向に関する年次調査の報告書「2021 State of the Software Supply Chain」を発表した。

　対象となったのは、10万種類の本番アプリケーションと開発者による400万種類のコンポーネントの移行だ。4つの主要なオープンソースエコシステムに関連するソフトウェアの供給と需要、セキュリティ動向も対象とした。4つのエコシステムとは、Java（Maven Central）、JavaScript（npmjs）、Python（PyPI）、.NET（nuget）だ。

オープンソースソフトウェアの需給はもちろん脆弱性が大幅に増加

　調査結果のハイライトは次の通り。

#CmsMembersControl .CmsMembersControlIn {width:100%;background:url(https://image.itmedia.co.jp/images/spacer.gif) #DDD;opacity:0.05;filter:progid:DXImageTransform.Microsoft.Alpha(Enabled=1,Style=0,Opacity=5);z-index:1;}

続きを閲覧するには、ブラウザの JavaScript の設定を有効にする必要があります。

OSSを介したサプライチェーン攻撃、どうすれば防げるのか
オープンソースソフトウェアを介したサプライチェーン攻撃には十分な危険性がある。ソフトウェア開発者向けにどのような対策があるのか、WhiteSourceが解説した。
脆弱性管理をどのように成熟させていくべきか――成熟度向上における6つのポイント
自社で脆弱性管理を実践しようと考えている企業のために、脆弱性スキャナーの種類や脆弱性管理のステップなどを解説する連載。今回は、いかにして脆弱性管理の成熟度を向上させるかについて。
サプライチェーン攻撃とは何か
サイバー攻撃の深化はとどまるところを知らない。2019年は企業に対する「サプライチェーン攻撃」が話題となっている。サプライチェーン攻撃とは何か、何が狙われるのか、どのような対策が考えられるのだろうか。