課荘芙曝

2024 定井ソフトウェア?サプライチェ�`ンのセキュリティ?リスクの�嶐瓦哩vする 6つの嶷勣な�{�暴Y惚

• ��吭のあるコ�`ドやマルウェアによる好�弔量�遊&稼恢壊沿;巌樋來の��喘は卆隼としてサプライチェ�`ン好�弔臨邊鵑淋�咀ですが、マルウェアや��吭のあるパッケ�`ジをベクトルとして旋喘する吭�躓弔聞��弔�識堀に��紗しています。Ponemon の�{�砲任蓮∋愆勒澆� 59%がソフトウェア?サプライチェ�`ン好�弔泙燭���喘による唹��を鞭けており、その寄謹方が�^肇 1 定�gに好�弔��k伏したと峰べています。
  
  
• 謹くの怏岶は仟たなマルウェアや��吭のあるパッケ�`ジという于璃に���Iする�扮犬�できていない 指基宀のわずか 39%が、徭芙の�U��ﾖ何がソフトウェア?サプライチェ�`ンにおける��吭のあるコ�`ドやマルウェアのリスク�X�pに掲械にまたはかなり�痂弔鉾，蟒Mんでいると指基しています。指基宀の 63%が徭芙の�M��がサ�`ドパ�`ティ?ソフトウェアのマルウェア�u��を佩っていると指基していますが、そのほとんどは、戻工されたソフトウェア何瞳燕を屡岑の��吭のあるパッケ�`ジと孚栽することに卆贋しています。アプリケ�`ションの卆贋�v�Sのバイナリ盾裂を�g仏しているのは 45%のみで、�@�A議な�{璃�O��を�g仏しているのは 37%のみでした。
  
  
• 謹くの怏岶はアプリケ�`ション?セキュリティ?ベンダ�`から仟たな巌樋來の秤烏を秘返することに卆贋している&稼恢壊沿;�s雰議に、怏岶はパブリックなデ�`タベ�`スからの巌樋來デ�`タに卆贋してきました。たとえば、 (NVD)です。しかしながら、�鷂罎気譴覺猗�來の方が��え�Aけ、パブリックに隠便された NVDのようなリソ�`スは、仟たな巌樋來の�_幣に�Wれないようにするのに逗�困靴討い泙后６爐�のソフトウェア?コンポジション盾裂ツ�`ルは、いまではパブリックデ�`タを�a頼する、����で�m�r來のある秤�鵑鰈塲阿離禰`タベ�`ス、たとえば Black Duck? KnowledgeBase? は巌樋來をさらに堀やかに蒙協し、���Iのための容�X並��を戻工することで�M��を屶址します。
  
  
• 巌樋來秤烏の�W决はソフトウェア?サプライチェ�`ンをリスクに氷す わずか 38%の指基宀によれば、泳らの�M��は掲械に�森�議に屡岑の巌樋來のエクスプロイトを�返�しています。ほぼ磯蛍(47%)の指基宀は1ヶ埖から6ヶ埖あれば嶷寄な巌樋來に��鬉任�ると基えています。
  
  

• その�Wれはオ�`プンソ�`スの卆贋�v�Sの砿尖と弖�Eを徭強晒していないことによるものです オ�`プンソ�`スとその麿のサ�`ドパ�`ティのコ�`ドは、しばしば仝卆贋�v�S々を宥してアプリケ�`ションに函り�zまれます。！ パッケ�`ジマネ�`ジャ�`によって婢�_されるコ�`ドのライブラリは、麿のソフトウェアで聞喘されます。その宴旋さゆえに、オ�`プンソ�`スの卆贋�v�Sのサポ�`トは、ほぼすべての�I�Nのすべてのアプリケ�`ションでサポ�`トされています。�g�Hに、仝2024 オ�`プンソ�`ス?セキュリティ & リスク蛍裂レポ�`ト々では、峠譲で 526��のオ�`プンソ�`スの卆贋�v�Sがアプリケ�`ションで��つかっているとしています。
  
  Ponemon researchによれば、ほとんどの�M��は徭らのソフトウェアに根まれるオ�`プンソ�`スの卆贋�v�Sがどの殻業なのか岑らないとのこと。！ わずか 39%の指基宀がオ�`プンソ�`スの卆贋�v�Sのインベントリを隠隔しているとのことです。37%は、返�咼譽咼紿`とか返�咾任旅楡蹐鯰个覆辰討�り、41%は返�咾離灰鵐櫞`ネントのレビュ�`と砿尖の徭�啝�を�Mみ栽わせているとのこと。火る 22%が徭�啝�あるいはポリシ�`ベ�`スのレビュ�`と砿尖を佩なっています。
  
  
• ソフトウェア蝕�kライフサイクルでの粥鴛の旋喘が��寄しているが、粥鴛によって伏撹されたコ�`ドの鴛永およびライセンスリスクへの��鬉��Wれ�殞� 52%の指基宀は�_�kチ�`ムがAIツ�`ルを試喘してコ�`ドを伏撹している。しかし、わずか 32%だけが 粥鴛伏撹コ�`ドの�編^プロセスがあると基えているにすぎません。
  
  オ�`プンソ�`スのセキュリティ盃墾がﾚく�鶺世気譴燭海箸排阿�院くなっていますが、IP とライセンスのコンプライアンス?リスクは、ソフトウェア?サプライチェ�`ンのセキュリティ�_隠に函り�Mむ�M��にとって�卍酳瀧�です。たとえば、�_�k宀がソフトウェア�_�kで仝スニペット々(プログラムコ�`ドの匯何蛍) を聞喘するのは匯違議な圭隈でが、�_�k嶄のソフトウェアにオ�`プンソ�`スのスニペットだけが根まれている��栽でも、ソフトウェアのユ�`ザ�`はスニペットに�v�B原けられたライセンスに����する駅勣があることを梨れてはなりません。
  
  コ�`ド伏撹のための AI屶址ツ�`ルの聞喘が��えていることで、この���}は侮震晒しています。AI コ�`ド伏撹アシスタントは、コ�`ドのライセンス�x�佞鰺�岑せずにコ�`ドスニペットを戻宛することがあり、そのコ�`ドを聞喘する�M��は捻壓議な掲�������}にさらされることになります。ソフトウェアに掲����のライセンスが 1つでも根まれていると、隈議レビュ�`、M&A函哈の���Y、岑議���b�悗��癖А��r�gのかかる俐屎恬�I、�u瞳の偏��誘秘の�Wれにつながる辛嬬來があります。

さらに�蠅靴で蕷┐蓮�永看稼艶馨看稼のレポ�`ト仝ソフトウェア?サプライチェ�`ンのセキュリティ?リスクの�嶐�々をダウンロ�`ドしてご鳩範ください。

- このブログ��並の哂�Z井は Shandra Gemmetti&稼恢壊沿;によってレビュ�`されました