[Security NEXT Special PR]

今や開発コードの多くを占めるオープンソース。「SBOM」への注目が高まっているが、懸念されるリスクは脆弱性にとどまらないという。米Checkmarxは、都内で10月27日に記者説明会を開催し、オープンソースに依存する開発環境の潜在的なリスクなどを説明した。

記者説明会に登壇した中道氏（画面左）とZorenstain氏（同右）

同社は2006年にイスラエルで創業。現在は欧米をはじめ各国で、セキュア開発「DevSecOps」を支えるソリューションを展開している。国内でも代理店経由で導入が進むが、2022年5月には中道良成氏がカントリーマネージャーに就任。さらなるサービス強化を進めている。

昨今、脆弱性対策として「SBOM」への関心が高まっているが、中道氏は安全を確保したプログラム開発において、「SBOM」にとどまらず、ソースコードの解析、悪意あるパッケージの検出など、より包括的なセキュリティ対策が求められていると説明。幅広い開発言語に対応し、相関分析などのもと「IaC」「API」なども含めて開発プログラムの安全性をトータルに確保できる同社ソリューションの強みをアピールした。

さらに今回のイベントにあわせて来日した同社フィールドCTOのTzachi Zorenstain氏は、オープンソースに大きく依存するセキュア開発の難しさについて解説した。

アプリケーションコードの約9割をオープンソースが占めるなか、パッケージの複雑な依存関係によって「オープンソースのジャングル」になっていると指摘。一方で「オープンだから問題があれば誰かが気がつくはず」と何気なく信頼している現状の危うさに警鐘を鳴らした。

人気パッケージの開発者が侵害され、悪性コードに置き換えられたり、開発者が思わぬ不正なコードを実装するケースなども起きていると説明。わずか1カ月間で悪意ある1500以上のパッケージが配布された攻撃キャンペーンなども確認されているという。

オープンソースを利用するならば、責任をもって安全であることを確認しなければならないが、脆弱性対策にくわえて不正なプログラムではないか確認しなければならないなど、開発者の負担が増していると同氏は述べた。

同社では日々調査を行い、脆弱性や悪意あるプログラムから顧客を保護しているが、同氏はエコシステムをクリーンに保つには、業界全体として悪意あるパッケージの対策に取り組む必要があると訴えている。

（提供：Checkmarx - 2022/11/07 ） ツイート

PR

関連記事

教員が小学校授業で過去の年賀ハガキを教材利用 - 横須賀市
生活保護受給者の医療券を別機関へ誤送付 - 新潟市
県立高で施錠管理の住民票記載事項証明書が所在不明 - 香川県
子育て事務センターで請求書を紛失、受領するも未処理 - 堺市
熊本県農業サイトへのサイバー攻撃、詳細調査でDB侵害が判明
外部からサイバー攻撃、一部業務で遅延も - システムエグゼ
複数サーバでランサム被害、ECサイト運営などに影響 - はるやまHD
「Citrix Bleed 2」への懸念広がる - 提供元は「悪用未確認」強調
メッセージ保護アプリ「TM SGNL」の複数脆弱性、悪用リストに追加
県立高で奨学金申請希望一覧表を生徒に誤配付 - 新潟県