Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

【特別企画】ソフト開発で不可避なOSSリスク - SBOMでは乗り切れない実情

今や開発コードの多くを占めるオープンソース。「SBOM」への注目が高まっているが、懸念されるリスクは脆弱性にとどまらないという。米Checkmarxは、都内で10月27日に記者説明会を開催し、オープンソースに依存する開発環境の潜在的なリスクなどを説明した。

20221031_ch_001.jpg
記者説明会に登壇した中道氏(画面左)とZorenstain氏(同右)

同社は2006年にイスラエルで創業。現在は欧米をはじめ各国で、セキュア開発「DevSecOps」を支えるソリューションを展開している。国内でも代理店経由で導入が進むが、2022年5月には中道良成氏がカントリーマネージャーに就任。さらなるサービス強化を進めている。

昨今、脆弱性対策として「SBOM」への関心が高まっているが、中道氏は安全を確保したプログラム開発において、「SBOM」にとどまらず、ソースコードの解析、悪意あるパッケージの検出など、より包括的なセキュリティ対策が求められていると説明。幅広い開発言語に対応し、相関分析などのもと「IaC」「API」なども含めて開発プログラムの安全性をトータルに確保できる同社ソリューションの強みをアピールした。

さらに今回のイベントにあわせて来日した同社フィールドCTOのTzachi Zorenstain氏は、オープンソースに大きく依存するセキュア開発の難しさについて解説した。

アプリケーションコードの約9割をオープンソースが占めるなか、パッケージの複雑な依存関係によって「オープンソースのジャングル」になっていると指摘。一方で「オープンだから問題があれば誰かが気がつくはず」と何気なく信頼している現状の危うさに警鐘を鳴らした。

人気パッケージの開発者が侵害され、悪性コードに置き換えられたり、開発者が思わぬ不正なコードを実装するケースなども起きていると説明。わずか1カ月間で悪意ある1500以上のパッケージが配布された攻撃キャンペーンなども確認されているという。

オープンソースを利用するならば、責任をもって安全であることを確認しなければならないが、脆弱性対策にくわえて不正なプログラムではないか確認しなければならないなど、開発者の負担が増していると同氏は述べた。

同社では日々調査を行い、脆弱性や悪意あるプログラムから顧客を保護しているが、同氏はエコシステムをクリーンに保つには、業界全体として悪意あるパッケージの対策に取り組む必要があると訴えている。

(提供:Checkmarx - 2022/11/07 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

メールアカウント3件に不正アクセス、個人情報が流出 - 近大関連会社
エレコム製の複数無線「LAN」ルータに3件の脆弱性
ラック、生成AIシステム特有のセキュリティ問題を診断するサービス
中学校で生徒用端末から教員用資料が閲覧可能な状態に - 文京区
イズミ、ランサム被害で宅配など一部サービスを停止 - 新店舗オープンを延期
マイナンバー含むデータ入力を委託先が無断で再委託 - 熊谷市
GitLab、アップデートで4件の脆弱性を修正
「GitLab」に月例セキュリティリリース - 深刻な脆弱性を解消
「GitHub Enterprise Server」に10件の脆弱性 - アップデートで修正
「Apache Tomcat」にアップデート - 「同8.5.x」は3月31日にサポート終了