OpenSSF、悪意あるOSSパッケージを検出する「Package Analysis」プロジェクトを発表：1カ月の分析で200以上の悪意あるパッケージを特定

OpenSSFは、OSSリポジトリに含まれる悪意あるパッケージを特定するという課題に取り組む「Package Analysis」プロジェクトの最初のプロトタイプ版を発表した。

» 2022年05月19日 10時50分公開

[＠IT]

この記事は会員限定です。会員登録（無料）すると全てご覧いただけます。

　Open Source Security Foundation（OpenSSF）は2022年4月28日（米国時間）、人気のあるオープンソースソフトウェア（OSS）リポジトリに含まれる悪意あるパッケージを特定するという課題に取り組む、「Package Analysis」プロジェクトの最初のプロトタイプ版を発表した。このプロジェクトでの1カ月の分析によって、「PyPI」「npm」にアップロードされた200以上の悪意あるパッケージを特定したとしている。

　OpenSSFは、OSSを通じたイノベーション促進を目指す非営利組織Linux Foundationのプロジェクトだ。オープンソースエコシステムの安全性を高めるために業界を超えたコラボレーションを行う。

Package Analysisとは

　Package Analysisは、OSSリポジトリで公開されているパッケージの挙動と機能（「どのファイルにアクセスするか」「どのアドレスに接続するか」「どのコマンドを実行するか」など）を理解することを目指している。「パッケージの挙動が時間とともにどのように変化するか」を追跡し、以前は安全だったソフトウェアが不審な動作を始めた時期の特定にも取り組む。

　このプロジェクトは、悪意ある挙動を検出し、パッケージを選択する消費者に情報を提供し、研究者にエコシステムに関するデータを提供することで、OSSのセキュリティを高めることを目的としている。以前から開発されていたが、当初の経験を踏まえた広範な変更を経て、ようやく最近になって実用性を備えるようになってきた。

悪意あるパッケージは具体的に何をするのか？

#CmsMembersControl .CmsMembersControlIn {width:100%;background:url(https://image.itmedia.co.jp/images/spacer.gif) #DDD;opacity:0.05;filter:progid:DXImageTransform.Microsoft.Alpha(Enabled=1,Style=0,Opacity=5);z-index:1;}

続きを閲覧するには、ブラウザの JavaScript の設定を有効にする必要があります。

Linux Foundationが調査レポート「SBOMとサイバーセキュリティへの対応状況」を公開
The Linux Foundation Japanは、調査レポート「SBOM（ソフトウェア部品表）とサイバーセキュリティへの対応状況」を公開した。SBOMの採用の度合いと、オープンソース全体のサイバーセキュリティの改善に向けたSBOMの重要性について述べているという。
「ライセンスどおりにしたのに違反？」「バージョンアップでライセンスが変わった！？」
OSSコンプライアンスに関するお悩みポイントと解決策を具体的に紹介する連載「解決！ OSSコンプライアンス」。4回目は、「ライセンスどおりにしたのに違反？」「バージョンアップでライセンスが変わった！？」という2つのエピソードと解決策を紹介する。
OSSのサプライチェーン、脆弱性に課題あり
オープンソースソフトウェアは供給、需要のどちらも大幅な伸びを見せている。しかし脆弱性の管理に弱点がある。ソフトウェアサプライチェーン管理プラットフォームを手掛けるSonatypeが発表した年次調査の報告書によれば、人気の高いプロジェクトでより多くの脆弱性が見つかっている。