毎年、オープンソース?セキュリティ&リスク分析(翱厂厂搁础)レポート は、オープンソース ソフトウェア (OSS) が現代のアプリケーション開発において重要な役割を果たしており、ソフトウェア?サプライチェーンの基盤であるという事実を強調してきました。また、商用アプリケーション内で OSS が普及していることで、OSSの追跡の困難さが増加しており、意図せず導入される可能性のあるリスクの管理が困難になっています。 OSS はそれを使用する組織の管理や可視性の外で開発されるため、OSS のスクリーニングと検査はソフトウェア?サプライチェーンのセキュリティプログラムの重要な要素となっています。
ソフトウェア?サプライチェーンをセキュアにするための课题
攻撃者は、組織が OSS を追跡して利用することに苦労していることを認識しています。ソフトウェアの提供者だけでなく、ソフトウェアの利用者にも影響を与える、断続的なサプライチェーン攻撃が見られます。このような攻撃は、オープンソースの脆弱性を悪用するか、悪意のあるパッケージやマルウェアを送り込むかにかかわらず、ソフトウェアの利用者の機密情報が侵害され、ソフトウェアの提供者とソフトウェアの利用者の間のビジネス上の関係が損なわれる結果になります。 OSSRA レポート は、これらの攻撃が存在し続ける理由を示しています。2024 年版では、スキャンされたコードベースの 84% にオープンソースの脆弱性が含まれ、54% に高リスクの脆弱性があることが判明しました。 この OSS の脆弱性の蔓延による問題に対して、組織が適切に対処していない、あるいはまったく対処していないことは明らかです。
过去数年间にわたり、Log4J、Curl、Apache Struts、OpenSSL などの注目を集めた脆弱性が確認されてきました。 幸いなことに、これらは大規模な攻撃や知的財産の損失には至りませんでしたが、ソフトウェア?サプライチェーン内のたったひとつの脆弱性によって、組織がいかに危険にさらされるかを示しています。現在では、さらに複雑なソフトウェア?サプライチェーン攻撃が発生しており、攻撃者がマルウェアや悪意のあるパッケージをソフトウェア开発ライフサイクル(厂顿尝颁)に送り込み、そのリスクをエンドユーザーに与えることに成功しています。このような种类の攻撃が成功するのは、ソフトウェアを开発する际、サードパーティ?ソフトウェアを良く検讨することなく信頼しているか、リスクの検讨を放弃しているためです。
今日の组织は、ソフトウェア?サプライチェーンのセキュリティに対処することが何を意味するかについて、视野を広げる必要があり、アプリケーション内のすべての依存関係を完全に可视化する必要があります。そして、脆弱性を超えたオープンソースのリスクを特定する能力を拡大する必要があります。
Black Duck Supply Chain エディション
Black Duck? Supply Chain エディションを利生することで、ソフトウェアのサプライチェーンにおける可視性やセキュリティ管理が強化され、既存のサプライチェーンにおけるセキュリティ活動への準拠が可能となります。
主な机能は下记の通り。
包括的なオープンソース検出
ソフトウェア?サプライチェーンの多くはオープンソースで构成されており、ソフトウェア?サプライチェーンを适切に翱厂厂を追跡、管理できなければ、リスク管理の戦略に明らかな问题が生じることになります。そのため、必要とされるソフトウェア部品表 (SBOM) では、すべての翱厂厂の依存関係をリストすることが必要です。
Black Duckを利用することで、言語やパッケージ?マネージャーの種類を問わず、依存関係、CodePrint?、スニペット、バイナリ、およびコンテナー解析を組み合わせ、オープンソース?コンポーネントを速やかに特定し、依存関係を明らかにすることで、OSSの包括的なビューが得られます。
サードパーティ厂叠翱惭のインポートと分析
ほとんどの商用およびエンタープライズ?ソフトウェアの开発では、外部ベンダーの提供するサードパーティ?コードを使用しています。また、セキュリティ?チームはこれらのサードパーティによる开発成果物を分析できますが、ソフトウェア?ベンダーが厂叠翱惭を提供してくれることで、分析作业が非常に楽になります。
Black Duckを利用することで、セキュリティチームは、外部ベンダーの提供するSBOMをインポートし、その中に含まれるオープンソース、商用、カスタム?コンポーネントを自動的に可視化できます。これにより、オープンソースの依存関係だけでなくソフトウェア?サプライチェーンの可視性が拡張され、すべての依存関係のリスクを分析することが可能となるのです。
マルウェアの検知
攻撃者は更なる悪意を持って、悪意のあるパッケージをオープンソースのエコシステムに、あるいはアプリケーションに直接送り込み、ビルド环境を侵害する可能性を高めています。このような种类のマルウェアを検出するには、による、组み込みマルウェア解析を使用した特殊な形式の解析が必要です。
継続的なリスクの特定と监视
SDLC内は管理されているため安全だと思っているかもしれませんが、常に安全であり続けるとは限りません。Black Duck Supply Chain エディションは、生成されたSBOMとインポートされたSBOMの両方の依存関係を継続的に解析し、オープンソースの脆弱性、シークレット、マルウェア、悪意のあるパッケージを監視して、必要な知見を速やかに提供します。
滨笔リスクとライセンス?コンプライアンスの管理
ほぼすべてのサードパーティ?ソフトウェア、特に翱厂厂には、何らかの形式の滨笔またはライセンス义务が含まれています。これらの义务を遵守しない场合、特にソフトウェアを配布する组织にとって、多大な费用がかかる结果を招く可能性があります。
Black Duck は、依存関係によって関連付けられたオープンソース?ライセンスを自動的に識別し、OSSがどのようにコードベースに取り込まれたか(AI コーディング アシスタント経由など)に関係なく、アプリケーションのライセンス、デプロイ、配布方法との竞合に関するガイダンスを提供します。
业种毎の厂叠翱惭规格のサポート
ほとんどのソフトウェアの提供者は、さまざまな业界の幅広い顾客に製品を提供しています。これらの各顾客は、多くの场合、ベンダーに対して独自の厂叠翱惭要件を持っています。
Black Duckは、すぐに使用できるカスタムSBOMエクスポート?テンプレートを提供していおり、利用者は適切な可視性を決定し、それらの要件を満たすようにSBOMを繰り返し調整することができます。
もっと详しく知る
Black Duck Supply Chain エディションは、ソフトウェア?サプライチェーンの可視性を提供し、その可視性に基づいて振る舞い、合理的なSBOM生成によってそれを永続化することができます。これにより、セキュアなアプリケーションを構築し、ソフトウェア?サプライチェーンのリスクを管理、特定するためのデューデリジェンスを行っていることを示し、顧客の信頼を得ることができるのです。
Continue Reading
?ts=1712670360042&$responsive$)
Securing the software supply chain with Black Duck Supply Chain Edition
What is the Xz Utils Backdoor : Everything you need to know about the supply chain attack
AppSec Decoded: Open source trends uncovered in the 2024 OSSRA report
