[Security NEXT Special PR]

今や開発コードの多くを占めるオープンソース。「SBOM」への注目が高まっているが、懸念されるリスクは脆弱性にとどまらないという。米Checkmarxは、都内で10月27日に記者説明会を開催し、オープンソースに依存する開発環境の潜在的なリスクなどを説明した。

記者説明会に登壇した中道氏（画面左）とZorenstain氏（同右）

同社は2006年にイスラエルで創業。現在は欧米をはじめ各国で、セキュア開発「DevSecOps」を支えるソリューションを展開している。国内でも代理店経由で導入が進むが、2022年5月には中道良成氏がカントリーマネージャーに就任。さらなるサービス強化を進めている。

昨今、脆弱性対策として「SBOM」への関心が高まっているが、中道氏は安全を確保したプログラム開発において、「SBOM」にとどまらず、ソースコードの解析、悪意あるパッケージの検出など、より包括的なセキュリティ対策が求められていると説明。幅広い開発言語に対応し、相関分析などのもと「IaC」「API」なども含めて開発プログラムの安全性をトータルに確保できる同社ソリューションの強みをアピールした。

さらに今回のイベントにあわせて来日した同社フィールドCTOのTzachi Zorenstain氏は、オープンソースに大きく依存するセキュア開発の難しさについて解説した。

アプリケーションコードの約9割をオープンソースが占めるなか、パッケージの複雑な依存関係によって「オープンソースのジャングル」になっていると指摘。一方で「オープンだから問題があれば誰かが気がつくはず」と何気なく信頼している現状の危うさに警鐘を鳴らした。

人気パッケージの開発者が侵害され、悪性コードに置き換えられたり、開発者が思わぬ不正なコードを実装するケースなども起きていると説明。わずか1カ月間で悪意ある1500以上のパッケージが配布された攻撃キャンペーンなども確認されているという。

オープンソースを利用するならば、責任をもって安全であることを確認しなければならないが、脆弱性対策にくわえて不正なプログラムではないか確認しなければならないなど、開発者の負担が増していると同氏は述べた。

同社では日々調査を行い、脆弱性や悪意あるプログラムから顧客を保護しているが、同氏はエコシステムをクリーンに保つには、業界全体として悪意あるパッケージの対策に取り組む必要があると訴えている。

（提供：Checkmarx - 2022/11/07 ） ツイート

PR

関連記事

制服の受け渡し連絡メールで誤送信 - カンコー学生服
廃棄予定PCの紛失判明、約8カ月倉庫で保管 - 東京モノレール
サイバー攻撃で電子カルテ停止、外来診療は再開 - 市立奈良病院
「Apache ActiveMQ」にRCE脆弱性 - 悪用が確認され「KEV」にも登録
インシデント件数が24％減 - GitHub悪用の標的型攻撃も
「MOVEit WAF」に検知回避の深刻な脆弱性 - 早急な対策を
まもなくGW - 長期休暇前にセキュリティ対策状況の点検を
「Firefox 150」を公開 - 41件の脆弱性を修正
「2りんかん」でサーバ侵害 - 顧客情報が流出した可能性
秘匿性高まる中国関連サイバー攻撃基盤 - 10カ国が対策呼びかけ