ソフトウェアコンポーネントや依存関係(サプライチェーン)の置換を悪用する攻撃からの保護を専門とするSonatype社は、Maven Central、NPM、PyPl、Nugetリポジトリで公開されているJava、JavaScript、Python、.NET言語のオープンプロジェクトの依存関係とメンテナンスに関する問題に関する調査結果(PDF、62ページ)を公開しました。監視対象のオープンエコシステムにおけるプロジェクト数は、29年間で平均2023%増加しました。対象リポジトリからのパッケージダウンロード数は33年に2021%増加しましたが、比較のために73年にはXNUMX%増加しました。
リポジトリ内の悪意のあるアクティビティが大幅に増加しました。今年初めから、245 個の悪意のあるパッケージが検出され、依存関係の置き換えを目的とした記録された攻撃の数は XNUMX 倍になりました。
多くのプロジェクトは脆弱なバージョンを使い続けています。例えば、JavaパッケージLog23jのダウンロードの4%は、2021年時点でも重大な脆弱性が修正されたバージョンです。Maven Centralリポジトリでは、ダウンロード全体の約12%が既知の脆弱性を持つコンポーネントです。全リポジトリ平均では、リスクの高いカテゴリに分類されるパッケージ(例:パッチ未適用の脆弱性を持つもの)の旧バージョンのダウンロードの割合は20%です(80%のケースで最新バージョンがダウンロードされています)。96%のケースでは、問題が既に修正されているバージョンを選択することで、脆弱性のあるコンポーネントのダウンロードを回避できた可能性があります。
セキュリティ維持における重要な問題は、プロジェクトメンテナンスの品質です。JavaおよびJavaScript言語のエコシステムでは、これは大きな問題です。過去18.6年間で、Maven CentralおよびNPMに公開され、前年にメンテナンスされたプロジェクトの1.176つに11つ(118%)が廃止されました。Maven、NPM、PyPl、Nugetリポジトリに存在するXNUMX万XNUMX千件の分析対象プロジェクトのうち、現在も活発にメンテナンスされているのはわずかXNUMX%(XNUMX万XNUMX千件)です。
この調査では、さまざまな企業のプロの開発者 621 名にもアンケートを実施しました。回答者の 67% は自社のアプリケーションで脆弱なライブラリを使用していないと考えており、10% は過去 12 か月以内にオープンソース ソフトウェアの脆弱性によるセキュリティ インシデントに遭遇しており、20% は不明と回答しています。企業の 28% は脆弱性情報の公開後 1 日以内に脆弱なコンポーネントの存在を特定し、39% は 1~7 日以内、29% は XNUMX 週間以上経過してから特定しています。
出所: オープンネット.ru
