オープンソースのサプライチェーン攻撃は650％増加、米Sonatype

　米Sonatypeは9月15日、オープンソースのサプライチェーンセキュリティを調べた「2021 State of the Software Supply Chain Report」を発表した。オープンソースのサプライチェーン攻撃は650％増加したと報告している。

　State of the Software Supply Chain ReportはSonatypeが作成する6回目となる年次報告書。5600人以上の開発者、10万以上の本番アプリケーションと400万件のコンポーネントマイグレーションに対して、Java（Maven Central）、JavaScript（npmjs）、Python（PyPI）、.NET（nuget）のエコシステムが関連したセキュリティを調べた。

　この1年で、アップストリームのオープンソースエコシステムの弱点を悪用したサプライチェーン攻撃は、前年から650％も増加した。4つのオープンソースエコシステムには3745万以上の異なるコンポーネントのバージョンが混在し、サプライ側は20％増加した。世界の開発者がこれら4つのエコシステムからオープンソースパッケージをダウンロードした回数は2兆2000億回を上回るなど、需要も73％で増加した。

一方で、本番用のアプリケーションが使用するオープンソースはわずか6％のオープンソースプロジェクトに集中しているという。人気のあるオープンソースプロジェクトだからと言って必ずしも安全ではなく、少なくとも1件以上のソフトウェア脆弱性を含むオープンソースプロジェクトは29％と報告している。

　平均アップデート間隔が高速なプロジェクトは安全性が高く、脆弱性を持つ可能性は1.8倍低いとしている。一方、人気があることと安全性との関係については、人気のあるオープンソースプロジェクトが脆弱性を含む可能性は2.8倍高いとも報告している。

　Sonotypeは調査からわかったソフトウェアのサプライチェーン管理の現状について、「欠陥のあるコンポーネントの修復をきちんと行っており、リスクがどこにあるのかを理解していると思っているが、客観的に見ると、調査から開発チームは構造化されたガイダンスがなく、最適ではない意思決定をしている」と記している。

「2020 State of the Software Supply Chain Report」
https://www.sonatype.com/resources/state-of-the-software-supply-chain-2021