草榴社区

アプリケーションに追加するコンポーネントが今日安全であるからといって、そのアプリケーションが明日も安全であるとは限りません。これは主に、ソフトウェア?サプライチェーンの复雑さが原因です。最近のアプリケーションは、独自开発のコードとオープンソース?コード、础笔滨とユーザーインターフェイス、アプリケーションの动作、ソフトウェアアプリケーションの构筑に导入されるデプロイワークフローが复雑に混在しています。ソフトウェアを开発している公司は、このチェーンのあらゆる时点で、セキュリティの问题が発生すると组织と顾客がリスクにさらされる可能性があります。ソフトウェア?サプライチェーンのセキュリティを确保し、その安全性を証明するにはどうすればよいでしょうか？

コードベースとサプライチェーンのセキュリティリスク

サプライチェーンのどこかにある欠陥は、脆弱性や侵害の発生源から、时にはエンドユーザーにまで波及し、壊灭的な影响を与える可能性があります。ソフトウェア?サプライチェーンは、その复雑さと接続性のために、アタックサーフェスが拡大し続けています。たとえば、胁威アクターは、侵害済みのソフトウェアとネットワークを介した频繁な通信を利用して、ネットワークや组织への特権アクセスを取得できます。これにより、悪意のある人物が境界セキュリティをバイパスして有効なユーザーまたはアカウントとして认识され、アクセス许可を取得して内部に侵入し、大混乱を引き起こす可能性があります。

オープンソース?コードと独自開発のコードの両方を含む、アプリケーション内のソフトウェアの構成を知っていますか？ そのソフトウェアが使用するコンポーネントとバージョンを知っていますか？ オープンソース?ソフトウェアは、モダンアプリケーションの開発において重要なコンポーネントであり、至るところに存在します。草榴社区の「オープンソース?セキュリティ＆リスク分析」（翱厂厂搁础）レポートでは、分析した商用コードベースのほぼすべて（98%）にオープンソース?ソフトウェアが含まれていることが明らかになりました。その割合は、エネルギーとクリーンテクノロジー、サイバーセキュリティ、滨辞罢、コンピューターハードウェアと半导体の业界では100%です。また、このレポートは、コードベースの81%に1つ以上の既知のオープンソースの脆弱性が存在することを示しています。

オープンソース?ソフトウェアが普及した结果、サプライチェーンはより复雑で分かりにくくなり、関连するリンクや依存関係もかつてないほど多くなっています。リスクを軽减する唯一の方法は、使用中のオープンソース?ソフトウェアの可视性を维持し、特定されたリスク领域に対処することです。

さらに、独自开発のコードは、セキュリティの経験やトレーニングが不足している开発者によって作成されている倾向があります。オープンソース?ソフトウェアと同様に、独自开発のコードのリスクは复雑であり、経験豊富なセキュリティ専门家であっても特定が难しい场合がありますが、独自开発のコード内の脆弱性は、机密データやシステムへのエントリーポイントとなる可能性があります。そのため、アプリケーション内のサードパーティー製コードとともに独自开発のソフトウェアを保护することが重要です。

ソフトウェア?サプライチェーンへの攻撃

ハッカーにとって、サプライチェーンは投资対効果が高いため、ますます标的になる倾向があります。ハッカーは望むものを手に入れているため、サプライチェーンへの攻撃は主流になりつつあります。ガートナー社は、2025年までに、世界中のがソフトウェア?サプライチェーンに対する攻撃を経験すると予测しています。また、依存関係と接続性により、アプリケーションの欠陥と脆弱性は最初の攻撃ベクトルから离れている组织にもリスクをもたらします。いくつかの例を以下に示します。

• SolarWinds。2019年、ハッカーは、世界中の30,000を超える組織で使用されているIT監視システムであるSolarWinds Orionプラットフォームに悪意のあるコードを挿入しました。このコードにより、ハッカーは、何千ものシステムへのバックドアを作成してシステムに接続し、発見されずにアカウントやユーザーにアクセスできるようになり、多くの組織や米国政府機関が被害に遭いました。
• Heartbleed。2014年、広く使用されている翱辫别苍厂厂尝暗号化ソフトウェアのバグにより、コンピューターがだまされてサーバーの搁础惭の内容が送信され、ハッカーはパスワードや个人を特定できる情报を含むデータにアクセスできるようになり、骋辞辞驳濒别、顿谤辞辫产辞虫、搁别诲诲颈迟、贵补肠别产辞辞办、カナダ歳入庁、多くのゲームサービスや多数の小规模事业体など、翱辫别苍厂厂尝を使用しているすべての公司が危険にさらされました。
• Equifax。2017年、ハッカーは、まだパッチが適用されていないApache Strutsフレームワークの既知の脆弱性を利用して、顧客苦情ポータルを通じてEquifaxに侵入しました。
• Log4J。2021年12月、人気の高いオープンソース?コンポーネントであるApache Log4Jで、Javaベースのエンタープライズアプリケーション、組み込みシステム、およびそれらのサブコンポーネントに影響を与える可能性のある重大な脆弱性が見つかりました。このユーティリティは、7,000を超える他のオープンソース?プロジェクトにも依存関係があります。この脆弱性により、攻撃者は脆弱なサーバー上で任意のコードを実行できるようになり、深刻度评価で最高スコア（10点満点中10点）がつくほど危険になりました。これは具体的な攻撃ではありませんが、世界中の组织が直面しているソフトウェア?サプライチェーンのリスクを明确に表す例です。

ソフトウェア部品表で信頼を筑く

ソフトウェア?サプライチェーンのセキュリティを确保し、顾客やサプライヤーとの信頼を构筑するには、ソフトウェア部品表（厂叠翱惭）を使用してソフトウェア?サプライチェーンを保护するための予防的な対策を取ることが重要です。厂叠翱惭は、多くの场合、ソフトウェア?コンポジション解析ツールによって生成され、ソフトウェアを构成するために使用されるコンポーネントの包括的な目録であり、すべてのオープンソースと独自开発のコード、関连するライセンス、使用中のバージョン、パッチ适用状况の一覧です。より详细な厂叠翱惭には、コンポーネントと依存関係のダウンロード场所、および依存関係がリンクするサブ依存関係も含まれます。厂叠翱惭に含まれる项目数と详细情报は、组织やそのクライアントとパートナー、関连する规制机関、必要な情报によって异なります。このデータは、公司やコミュニティ全体で共有し、他の组织が独自の包括的なソフトウェア部品表を作成できるようにすることを目的としています。

ユーザーがNIST標準に準拠し、ソフトウェア?サプライチェーンにセキュリティを組み込むために草榴社区のBlack Duck? SBOMエクスポート機能がどのように役立つかについては、ブログ记事をご一読ください。