OSSのサプライチェーン、脆弱性に課題あり:需給は高まるが脆弱性も増加
オープンソースソフトウェアは供給、需要のどちらも大幅な伸びを見せている。しかし脆弱性の管理に弱点がある。ソフトウェアサプライチェーン管理プラットフォームを手掛けるSonatypeが発表した年次調査の報告書によれば、人気の高いプロジェクトでより多くの脆弱性が見つかっている。
ソフトウェアサプライチェーン管理プラットフォームを手掛けるSonatypeは2021年9月15日(米国時間)、オープンソースソフトウェア(OSS)について、サプライチェーンの動向に関する年次調査の報告書「2021 State of the Software Supply Chain」を発表した。
対象となったのは、10万種類の本番アプリケーションと開発者による400万種類のコンポーネントの移行だ。4つの主要なオープンソースエコシステムに関連するソフトウェアの供給と需要、セキュリティ動向も対象とした。4つのエコシステムとは、Java(Maven Central)、JavaScript(npmjs)、Python(PyPI)、.NET(nuget)だ。
オープンソースソフトウェアの需給はもちろん脆弱性が大幅に増加
調査結果のハイライトは次の通り。
・供給が20%増
4つのエコシステム合計で、1年間に630万2733の新バージョンがリリースされ、72万3570の全く新しいプロジェクトが発表された。これらのコミュニティーは合計で、2020年比20%増の3745万1682バージョンのコンポーネントを提供している。
・需要が73%増
世界の開発者は2021年にこの4つのエコシステムのオープンソースパッケージを、2020年比73%増の2.2兆回以上ダウンロードする見通しだ。
・オープンソースサプライヤーを狙ったサイバー攻撃が2020年比で650%増
オープンソースエコシステムの上流にある脆弱(ぜいじゃく)性を狙ったソフトウェアサプライチェーン攻撃が急激に増加した。
・本番アプリケーションでは、使用可能なオープンソースプロジェクトの6%しか利用されていない
大量のオープンソースプロジェクトの成果が供給されているものの、利用されるプロジェクトは、少数の人気の高いものに集中している。
・人気の高いオープンソースプロジェクトの方が脆弱
人気の高いプロジェクトでは、コンポーネントの29%に少なくとも1つの既知のセキュリティ脆弱性がある。これに対し、人気の低いプロジェクトのコンポーネントでは、この割合は6.5%にとどまる。これは、セキュリティ研究者(ブラックハット、ホワイトハットとも)が、広く使われているプロジェクトにフォーカスしていることを示唆している。
セキュリティに強い傾向があるプロジェクトも存在
調査報告書はセキュリティの高低を決める要因についても扱っている。
・MTTUが短いプロジェクトの方が安全
MTTU(Mean Time To Update:更新までの平均時間)が短いプロジェクトは、脆弱性が存在する可能性が平均の1.8分の1にとどまる。
・人気はセキュリティの指標にならない
人気の高いオープンソースプロジェクトは、脆弱性が存在する可能性が平均よりも2.8倍高い。
開発チームによって大幅に異なる依存関係管理プラクティス
企業は年間平均6200件のコンポーネントの移行を行っている。だが、アップグレード先の最適なバージョンを特定できなかったために、69%が最適な選択を採っていなかった。一般に、プロジェクトの新しいバージョンの方が優れているが、必ずしもベストとは限らない。
企業のエンジニアリングチームは、使用するコンポーネントの25%しか管理しておらず、オープンソース依存関係の多くが古くなり、セキュリティリスクが増大している。
中堅企業は自動化により、年間19万2000ドルのソフトウェア開発コストを削減できる可能性がある。20のアプリケーション開発チームを抱える中堅企業がインテリジェント自動化ソリューションを利用することで、年間160人日の開発工数を削減できる計算だ。
ソフトウェアサプライチェーン管理プラクティスに関する認識と現実
企業の担当者はコンポーネントの脆弱性対応がうまくいっていると自信を持っていることが多い。だが、調査結果によれば、開発チームがしばしば、ソフトウェアサプライチェーン管理に関して最適ではない意思決定を行うことが分かった。構造化されたガイダンスを欠いていることが原因だ。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
OSSを介したサプライチェーン攻撃、どうすれば防げるのか
オープンソースソフトウェアを介したサプライチェーン攻撃には十分な危険性がある。ソフトウェア開発者向けにどのような対策があるのか、WhiteSourceが解説した。
脆弱性管理をどのように成熟させていくべきか――成熟度向上における6つのポイント
自社で脆弱性管理を実践しようと考えている企業のために、脆弱性スキャナーの種類や脆弱性管理のステップなどを解説する連載。今回は、いかにして脆弱性管理の成熟度を向上させるかについて。
サプライチェーン攻撃とは何か
サイバー攻撃の深化はとどまるところを知らない。2019年は企業に対する「サプライチェーン攻撃」が話題となっている。サプライチェーン攻撃とは何か、何が狙われるのか、どのような対策が考えられるのだろうか。