毎年、オープンソース・セキュリティ&リスク分析(OSSRA)レポート は、オープンソース ソフトウェア (OSS) が現代のアプリケーション開発において重要な役割を果たしており、ソフトウェア・サプライチェーンの基盤であるという事実を強調してきました。また、商用アプリケーション内で OSS が普及していることで、OSSの追跡の困難さが増加しており、意図せず導入される可能性のあるリスクの管理が困難になっています。 OSS はそれを使用する組織の管理や可視性の外で開発されるため、OSS のスクリーニングと検査はソフトウェア・サプライチェーンのセキュリティプログラムの重要な要素となっています。
ソフトウェア・サプライチェーンをセキュアにするための課題
攻撃者は、組織が OSS を追跡して利用することに苦労していることを認識しています。ソフトウェアの提供者だけでなく、ソフトウェアの利用者にも影響を与える、断続的なサプライチェーン攻撃が見られます。このような攻撃は、オープンソースの脆弱性を悪用するか、悪意のあるパッケージやマルウェアを送り込むかにかかわらず、ソフトウェアの利用者の機密情報が侵害され、ソフトウェアの提供者とソフトウェアの利用者の間のビジネス上の関係が損なわれる結果になります。 OSSRA レポート は、これらの攻撃が存在し続ける理由を示しています。2024 年版では、スキャンされたコードベースの 84% にオープンソースの脆弱性が含まれ、54% に高リスクの脆弱性があることが判明しました。 この OSS の脆弱性の蔓延による問題に対して、組織が適切に対処していない、あるいはまったく対処していないことは明らかです。
過去数年間にわたり、Log4J、Curl、Apache Struts、OpenSSL などの注目を集めた脆弱性が確認されてきました。 幸いなことに、これらは大規模な攻撃や知的財産の損失には至りませんでしたが、ソフトウェア・サプライチェーン内のたったひとつの脆弱性によって、組織がいかに危険にさらされるかを示しています。現在では、さらに複雑なソフトウェア・サプライチェーン攻撃が発生しており、攻撃者がマルウェアや悪意のあるパッケージをソフトウェア開発ライフサイクル(SDLC)に送り込み、そのリスクをエンドユーザーに与えることに成功しています。このような種類の攻撃が成功するのは、ソフトウェアを開発する際、サードパーティ・ソフトウェアを良く検討することなく信頼しているか、リスクの検討を放棄しているためです。
今日の組織は、ソフトウェア・サプライチェーンのセキュリティに対処することが何を意味するかについて、視野を広げる必要があり、アプリケーション内のすべての依存関係を完全に可視化する必要があります。そして、脆弱性を超えたオープンソースのリスクを特定する能力を拡大する必要があります。
Black Duck Supply Chain エディション
Black Duck® Supply Chain エディションを利生することで、ソフトウェアのサプライチェーンにおける可視性やセキュリティ管理が強化され、既存のサプライチェーンにおけるセキュリティ活動への準拠が可能となります。
主な機能は下記の通り。
包括的なオープンソース検出
ソフトウェア・サプライチェーンの多くはオープンソースで構成されており、ソフトウェア・サプライチェーンを適切にOSSを追跡、管理できなければ、リスク管理の戦略に明らかな問題が生じることになります。そのため、必要とされるソフトウェア部品表 (SBOM) では、すべてのOSSの依存関係をリストすることが必要です。
Black Duckを利用することで、言語やパッケージ・マネージャーの種類を問わず、依存関係、CodePrint™、スニペット、バイナリ、およびコンテナー解析を組み合わせ、オープンソース・コンポーネントを速やかに特定し、依存関係を明らかにすることで、OSSの包括的なビューが得られます。
サードパーティSBOMのインポートと分析
ほとんどの商用およびエンタープライズ・ソフトウェアの開発では、外部ベンダーの提供するサードパーティ・コードを使用しています。また、セキュリティ・チームはこれらのサードパーティによる開発成果物を分析できますが、ソフトウェア・ベンダーがSBOMを提供してくれることで、分析作業が非常に楽になります。
Black Duckを利用することで、セキュリティチームは、外部ベンダーの提供するSBOMをインポートし、その中に含まれるオープンソース、商用、カスタム・コンポーネントを自動的に可視化できます。これにより、オープンソースの依存関係だけでなくソフトウェア・サプライチェーンの可視性が拡張され、すべての依存関係のリスクを分析することが可能となるのです。
マルウェアの検知
攻撃者は更なる悪意を持って、悪意のあるパッケージをオープンソースのエコシステムに、あるいはアプリケーションに直接送り込み、ビルド環境を侵害する可能性を高めています。このような種類のマルウェアを検出するには、ReversingLabs とのパートナーシップによる、組み込みマルウェア解析を使用した特殊な形式の解析が必要です。
継続的なリスクの特定と監視
SDLC内は管理されているため安全だと思っているかもしれませんが、常に安全であり続けるとは限りません。Black Duck Supply Chain エディションは、生成されたSBOMとインポートされたSBOMの両方の依存関係を継続的に解析し、オープンソースの脆弱性、シークレット、マルウェア、悪意のあるパッケージを監視して、必要な知見を速やかに提供します。
IPリスクとライセンス・コンプライアンスの管理
ほぼすべてのサードパーティ・ソフトウェア、特にOSSには、何らかの形式のIPまたはライセンス義務が含まれています。これらの義務を遵守しない場合、特にソフトウェアを配布する組織にとって、多大な費用がかかる結果を招く可能性があります。
Black Duck は、依存関係によって関連付けられたオープンソース・ライセンスを自動的に識別し、OSSがどのようにコードベースに取り込まれたか(AI コーディング アシスタント経由など)に関係なく、アプリケーションのライセンス、デプロイ、配布方法との競合に関するガイダンスを提供します。
業種毎のSBOM規格のサポート
ほとんどのソフトウェアの提供者は、さまざまな業界の幅広い顧客に製品を提供しています。これらの各顧客は、多くの場合、ベンダーに対して独自のSBOM要件を持っています。
Black Duckは、すぐに使用できるカスタムSBOMエクスポート・テンプレートを提供していおり、利用者は適切な可視性を決定し、それらの要件を満たすようにSBOMを繰り返し調整することができます。
もっと詳しく知る
Black Duck Supply Chain エディションは、ソフトウェア・サプライチェーンの可視性を提供し、その可視性に基づいて振る舞い、合理的なSBOM生成によってそれを永続化することができます。これにより、セキュアなアプリケーションを構築し、ソフトウェア・サプライチェーンのリスクを管理、特定するためのデューデリジェンスを行っていることを示し、顧客の信頼を得ることができるのです。
Continue Reading
?ts=1712670360042&$responsive$)
What is the Xz Utils Backdoor : Everything you need to know about the supply chain attack
Apr 08, 2024 / 5 min read
AppSec Decoded: Open source trends uncovered in the 2024 OSSRA report
Mar 22, 2024 / 1 min read
