OX Securityは、Google、Microsoft、GitLabなどの企業と共同で、ソフトウェアサプライチェーンのセキュリティリスクを評価・査定するためのセキュリティフレームワークを公開した。 オープンソフトウェアサプライチェーン攻撃リファレンス(OSC&R)は、コンテナ、オープンソースソフトウェア、適切な取り扱いが行われない秘密情報、CI/CDへの取組み姿勢をカバーするMITREのようなフレームワークである。
OSC&Rは、サプライチェーン攻撃において攻撃者が使用する戦術、技術、手順(TTP)を理解し、分析するための共通言語と構造を提供するよう設計されている。 GitLabのシニアセキュリティエンジニアであるヒロキ スエザワは、次のように述べている。
私たちは、セキュリティコミュニティがソフトウェアサプライチェーンを保護するための独自の戦略を積極的に評価し、ソリューションを比較するための単一の参照ポイントを提供したいと考えました。
このフレームワークは、パイプライン部品表(PBOM)を定義する9つの重要な分野に分かれている。 PBOMはソフトウェア部品表(SBOM)に似ているが、成果物そのものを直接評価するのではなく、ソフトウェアの成果物を構築するためのパイプラインとプロセスが対象である。前述の評価対象に加え、ソース管理方法、クラウドセキュリティ、コードセキュリティ、インフラストラクチャ・アズ・コードプロセスのレビューが含まれている。
そしてこれらの重要な領域は、12のTTPにわたってマトリックス形式で評価されている。これらのTTP(戦術、技術、手順)には、情報収集、初期アクセス、永続化、権限昇格、資格情報アクセスが含まれる。例えばオープンソースセキュリティと初期アクセスの交差点には、リポジャッキング、タイポスクワット、悪意のあるIDE拡張、脆弱なCI/CDテンプレートなどのTTPがある。本稿執筆時点では、これらのTTPの特定のみがサイト上で公開されており、より詳細な定義や説明は現状では存在しない。
OX SecurityのCEOであるNeatsun Ziv氏は、次のように説明している。
ソフトウェアのサプライチェーンを構成するものについての共通理解なしに、サプライチェーンのセキュリティについて語ろうとしても、生産的ではありません。ソフトウェアサプライチェーンの定義に合意がなければ、セキュリティ戦略はしばしばサイロ化されるのです。
ソフトウェアサプライチェーンセキュリティは、この分野への攻撃が増え続けており、懸念される分野となっている。Aqua Securityのレポートによると、サプライチェーンへの攻撃は2020年から2021年にかけて300%増加することが分かっている。 ガートナーは2025年までに世界の45%の組織がサプライチェーン攻撃に苦しむと予測している。これは2021年と比較して3倍である。
最近の攻撃にはPyPiレジストリ上の悪意のあるパッケージがあり、InfoQのSergio De Simone氏の報告によると、"pipに偽装したMeterpreterトロイの木馬のインストール、netstatシステムユーティリティの削除、SSH authorized_keysファイルの改ざんが可能 "とのことである。
こうした攻撃の増加に伴い、サプライチェーンセキュリティへの投資も増加している。新しいOSC&Rフレームワークとともに、ChainguardはOpenVEX仕様を最近発表した。Vulnerability Exploitability eXchange (VEX) は、ソフトウェアの脆弱性を評価・管理するために設計されたものだ。Chainguard社のCEOであるDan Lorenc氏は、"OpenVEXはSBOMを補完し、サプライヤーが製品の脆弱性状態に関する正確なメタデータを消費者やエンドユーザに直接伝えることを可能にする"と述べており、この分野では、最近、Docker、Google、AWSは同様の改善を行っている。
このリリースに対する反応は様々で、Immersive LabsのリードソリューションストラテジストであるNermin S.は、この業界は本当にこれ以上フレームワークを必要としているのだろうか?この業界にこれ以上のフレームワークが必要か?と考慮中だ。
OSC&Rフレームワークの作者は、攻撃者の戦術や技術の出現と進化に合わせて、今後もOSC&Rフレームワークの更新を続けていくことを示唆している。