オープンソースのサプライチェーン攻撃は650%増加、米Sonatype

 米Sonatypeは9月15日、オープンソースのサプライチェーンセキュリティを調べた「2021 State of the Software Supply Chain Report」を発表した。オープンソースのサプライチェーン攻撃は650%増加したと報告している。

 State of the Software Supply Chain ReportはSonatypeが作成する6回目となる年次報告書。5600人以上の開発者、10万以上の本番アプリケーションと400万件のコンポーネントマイグレーションに対して、Java(Maven Central)、JavaScript(npmjs)、Python(PyPI)、.NET(nuget)のエコシステムが関連したセキュリティを調べた。

 この1年で、アップストリームのオープンソースエコシステムの弱点を悪用したサプライチェーン攻撃は、前年から650%も増加した。4つのオープンソースエコシステムには3745万以上の異なるコンポーネントのバージョンが混在し、サプライ側は20%増加した。世界の開発者がこれら4つのエコシステムからオープンソースパッケージをダウンロードした回数は2兆2000億回を上回るなど、需要も73%で増加した。

 

一方で、本番用のアプリケーションが使用するオープンソースはわずか6%のオープンソースプロジェクトに集中しているという。人気のあるオープンソースプロジェクトだからと言って必ずしも安全ではなく、少なくとも1件以上のソフトウェア脆弱性を含むオープンソースプロジェクトは29%と報告している。

 平均アップデート間隔が高速なプロジェクトは安全性が高く、脆弱性を持つ可能性は1.8倍低いとしている。一方、人気があることと安全性との関係については、人気のあるオープンソースプロジェクトが脆弱性を含む可能性は2.8倍高いとも報告している。

 Sonotypeは調査からわかったソフトウェアのサプライチェーン管理の現状について、「欠陥のあるコンポーネントの修復をきちんと行っており、リスクがどこにあるのかを理解していると思っているが、客観的に見ると、調査から開発チームは構造化されたガイダンスがなく、最適ではない意思決定をしている」と記している。

「2020 State of the Software Supply Chain Report」
https://www.sonatype.com/resources/state-of-the-software-supply-chain-2021