BT

最新技術を追い求めるデベロッパのための情報コミュニティ

寄稿

Topics

地域を選ぶ

InfoQ ホームページ ニュース Veracodeの報告書に見る、ソフトウェアサプライチェーン保護の進展の兆し

Veracodeの報告書に見る、ソフトウェアサプライチェーン保護の進展の兆し

原文(投稿日:2022/04/23)へのリンク

Veracodeが先頃リリースした"State of Software Security" レポートには、サードパーティライブラリで発見された既知のセキュリティ脆弱性の数が全般的に減少傾向にあること、小規模なアプリケーションほどイシュースキャンがより定期的に実行される傾向があること、などが報告されている。さらには、業界が発展途上の段階にあることも明らかになった。

報告書では、ソフトウェア開発の状況の変化や一般的な欠陥が報告され、今後進むべき方向についての提案が述べられている。最初はよい知らせだ。60万件のアプリケーションを検査した結果として、既知のセキュリティ脆弱性を含むライブラリの数は、2017年には35パーセントであったものが、2021年には10パーセントにまで減少している。これはVeracodeやSonatypeといった商用プロバイダの提供するセキュリティスキャンソフトウェアの普及が進んだことに加えて、すべての公開リポジトリにAdvanced Securityを提供したGitHubの取り組みなどの成果であると考えられる。GitHubのDependabot通知を利用することで、多数のオープンソースコントリビュータが、自身のプロジェクトの依存関係にある既知の脆弱性を知ることができるようになったのだ。

明るい話題ではあるが、減少したとはいえ、依然として多くのライブラリが脆弱性を抱えている。Sonatypeの"2021 State of the Software Supply Chain"によると、オープンソースサプライヤを標的としたサイバーアタックは毎年650パーセント増加している。注意すべきなのは、オープンソースの脆弱性が最も蔓延しているのが人気の高いプロジェクトである点だ。問題は、攻撃者がひとつの脆弱性を見つければよいのに対して、防御する側は可能性のあるすべての脆弱性を防御しなければならないという、"攻撃側と防御側の非対称性"にある。

Veracodeの調査によると、多言語プロジェクトの数は減少しており、言語をバウンダリとしてアプリケーションを分離する傾向が見られるという。さらに、"JavaScript、Python、.NETのアプリサイズが縮小して、マイクロサービス化する傾向にある"ことが指摘されている。マイクロサービスは、個々のサービスの複雑性と攻撃対象領域が低減する反面、統合されたシステムの理解や管理が難しくなる可能性がある。

Versacodeはこの報告書を12年にわたって発行しており、最新の報告書では、約60万のアプリケーションをスキャンした結果を要約している。長期間継続していることにより、例えば、スキャン頻度の中央値が2010年から2021年の間に20倍に増加している、というような対比を行うことが可能である。年に2~3回のスキャンから、90パーセントのアプリが少なくとも週1回スキャンするという状況への変化は、セキュリティスキャンの開発ライフサイクルへの統合や、アジャイルやDevSecOpsへの移行傾向を反映したものだ、と同社では分析している。さらに報告書では、スキャン間の平均時間が指数級数的に減少していることも示されている。Veracodeではこれを、継続的デリバリに伴うデプロイメント頻度の向上によるものと分析している。

Veracodeはこの調査結果から、ユーザ毎のスキャン対象アプリケーション数が四半期あたり17件の新アプリケーションと、2010年の5件から増加傾向にあることを確認している。これはセキュリティスキャンが以前に比べて普通の行為になっただけでなく、開発パイプラインに追加されることが一般的になったため、開発チームにとって重荷ではなくなったことを示すものだ。報告書では、パイプライン内にテストを構築することで、さまざまなタイプのテストを積み重ねて、さまざまな種類の欠陥を容易に特定できるようになる、と指摘している。例えば、静的分析でCRLFインジェクションやSQLインジェクションに対する問題を検出することは可能だが、サーバの誤設定のような問題の検出には動的分析による補完が必要だ。Veracodeの調査によると、複数のスキャンタイプの使用は、2018年以降31パーセント増加している。

ホワイトハウスが昨年5月に国家のサイバーセキュリティ向上に関する大統領令を発令して以降、ソフトウェアサプライチェーンの保護という課題に注目するベンダからの報告が相次いでいる。セキュリティはITの世界における非常に重要なテーマであり、不安に駆立てられた経営者たちの注目を絶えず集めている。その一方では、悩めるセキュリティ専門家たちが、セキュリティをより容易に、より多くの開発に統合できるようにするための努力を続けているのだ。

Veracodeの報告書は、VerizonのData Breach Investigation Reportの著者の一部が立ち上げたセキュリティ研究およびデータ分析機関であるCyentia Instituteとの共作によるものである。興味のある読者は、State of Software Security報告書を直接ダウンロードして読んでみてほしい。

作者について

この記事に星をつける

おすすめ度
スタイル

BT