オープンソースソフトウェアのサプライチェーンの脆弱性は12ヶ月で倍増

注目を集めたEquifaxの大規模侵害に関与したにもかかわらず、脆弱なオープンソースコンポーネントの使用は昨年比で倍増しました。

火曜日に公開された Sonatype の第 4 回年次ソフトウェア サプライ チェーン レポート (こちらから入手可能、登録が必要) によると、過去 12 か月間で脆弱なオープン ソース コンポーネントの使用が 120% 増加したことが明らかになりました。

Sonatype によると、悪意のある人物がオープンソース プロジェクトに脆弱性を直接注入 (またはメインライン化) し始めており、同社は調査の中でこの種の不正行為の最近の例を 11 件挙げている。

El Reg は、7 月に発生したオープンソース ユーティリティ eslint-scope のコード ハッキングを含む、同様の事件をいくつか報告しています。

Sonatype が挙げた問題のいくつかは、JavaScript プロジェクトが依存関係をインストールするために使用するユーティリティである NPM の操作に関係していました。

ソフトウェアツール企業は、オープンソースソフトウェアコンポーネントに存在する130万件の脆弱性が、公開されているNVDデータベースに記録されていないと推定しています。これは、関連するCVEアドバイザリが存在しないことを意味します。これにより、バグのトリアージが困難になっています。

Sonatypeの推定によると、平均的な企業は年間17万個のオープンソースコンポーネントをダウンロードしており、そのうち8個に1個は何らかの脆弱性を抱えています。Sonatypeによると、ソフトウェアの脆弱性が悪用されるまでの平均時間がわずか3日程度にまで短縮されているため、この問題はさらに深刻化しています。

昨年のEquifaxの侵害は、Apache Strutsのアップデートが長らく見落とされていたことが原因とされました。この見落としは甚大な影響を及ぼしました。この事件をきっかけに、ソフトウェアサプライチェーンのセキュリティ依存性に関する議論が巻き起こりました。

こうした議論は現実世界ではまだ事態に変化をもたらさず、組織は依然として Apache Struts フレームワークの脆弱なバージョンを、Equifax のデータ侵害以前とほぼ同じペース、つまり毎月約 80,000 回ダウンロードし続けています。

ソナタイプ社によると、別の人気ウェブアプリケーションフレームワーク「Spring」のバグ版のダウンロード数も、2017年9月の脆弱性発覚以降、ほとんど変化していないという。2017年9月の平均ダウンロード数は8万5000件だったが、過去12ヶ月間でわずか15%減少し、7万2000件となった。

Sonatypeのレポートは、ソフトウェア自動化ベンダーである同社が収集したオープンソース（公開）データと独自情報の幅広い組み合わせの分析に基づいています。同社は当然のことながら、ソフトウェア開発ライフサイクル全体にわたって自動化を適用し、DevOpsのベストプラクティスを導入することで、脆弱なソフトウェアコンポーネントを本番環境への導入前に排除し、侵害リスクを低減できると主張しています。

ソナタイプのデレク・ウィークス副社長は、開発者に同情を表明しながらも、脆弱なコンポーネントのダウンロードの割合が増加しているのを見て「がっかり」していると述べた。

「今日では、開発者がStrutsのような既知の脆弱性を持つオープンソースコンポーネントをダウンロードしているかどうかを知ることは困難です」とウィークス氏はEl Regに語った。「コンポーネントの無料ダウンロードには数ミリ秒しかかからず、その間、既知の脆弱性に関する情報は開発者に積極的に提供されません。これは、食品ラベルや賞味期限のないおいしい商品が並ぶ巨大なスーパーマーケットで買い物をするようなものです。コンポーネントの品質とセキュリティに関するデータが開発者にすぐに提供されなければ、彼らは事実上、目隠しされた状態で買い物をしているようなものです。」

「現代では、手作業による調査やレビューでは、オープンソース コンポーネントの消費量に追いつくことができません」と彼は付け加えました。®