[Security NEXT Special PR]

今や開発コードの多くを占めるオープンソース。「SBOM」への注目が高まっているが、懸念されるリスクは脆弱性にとどまらないという。米Checkmarxは、都内で10月27日に記者説明会を開催し、オープンソースに依存する開発環境の潜在的なリスクなどを説明した。

記者説明会に登壇した中道氏（画面左）とZorenstain氏（同右）

同社は2006年にイスラエルで創業。現在は欧米をはじめ各国で、セキュア開発「DevSecOps」を支えるソリューションを展開している。国内でも代理店経由で導入が進むが、2022年5月には中道良成氏がカントリーマネージャーに就任。さらなるサービス強化を進めている。

昨今、脆弱性対策として「SBOM」への関心が高まっているが、中道氏は安全を確保したプログラム開発において、「SBOM」にとどまらず、ソースコードの解析、悪意あるパッケージの検出など、より包括的なセキュリティ対策が求められていると説明。幅広い開発言語に対応し、相関分析などのもと「IaC」「API」なども含めて開発プログラムの安全性をトータルに確保できる同社ソリューションの強みをアピールした。

さらに今回のイベントにあわせて来日した同社フィールドCTOのTzachi Zorenstain氏は、オープンソースに大きく依存するセキュア開発の難しさについて解説した。

アプリケーションコードの約9割をオープンソースが占めるなか、パッケージの複雑な依存関係によって「オープンソースのジャングル」になっていると指摘。一方で「オープンだから問題があれば誰かが気がつくはず」と何気なく信頼している現状の危うさに警鐘を鳴らした。

人気パッケージの開発者が侵害され、悪性コードに置き換えられたり、開発者が思わぬ不正なコードを実装するケースなども起きていると説明。わずか1カ月間で悪意ある1500以上のパッケージが配布された攻撃キャンペーンなども確認されているという。

オープンソースを利用するならば、責任をもって安全であることを確認しなければならないが、脆弱性対策にくわえて不正なプログラムではないか確認しなければならないなど、開発者の負担が増していると同氏は述べた。

同社では日々調査を行い、脆弱性や悪意あるプログラムから顧客を保護しているが、同氏はエコシステムをクリーンに保つには、業界全体として悪意あるパッケージの対策に取り組む必要があると訴えている。

（提供：Checkmarx - 2022/11/07 ） ツイート

PR

関連記事

「JNSA賞」2025年度受賞者が発表 - 「サポート詐欺」対策などで特別賞も
「Raspberry Pi」向け無線LAN管理ツールに脆弱性 - 修正版が公開
「vLLM」に深刻なRCE脆弱性 - 動画を扱う環境に影響
「SandboxJS」にあらたなサンドボックス回避脆弱性 - 再度修正を実施
ボランティアにメール送信した申込書に個人情報 - 茨城県国際交流協会
「CODE BLUE 2026」、11月に開催 - 事前参加登録がスタート
LAN側からtelnet有効化できるマニュアル未記載機能 - NETGEAR製EOLルータ
サーバに大量アクセス、サイバー攻撃の可能性 - MCリテールエナジー
ネットストアの第三者による不正ログインに注意喚起 - 資生堂
「Apache Hadoop HDFS」に脆弱性 - アップデートが公開