Sonatypeはこのほど、最新の「State of the Software Supply Chain」レポートを公開した。このレポートはソフトウェアのサプライチェーンの実態を調べたもので、公開リポジトリのオープンソースを狙った悪意のある攻撃が前年比で633%増加していることが明らかとなった。この値は、2019年以降のソフトウェアサプライチェーン攻撃の年平均742%増に相当すると分析されている。

  • 8th Annual State of the Software Supply Chain Report|Sonatype

    8th Annual State of the Software Supply Chain Report|Sonatype

調査内容をまとめた完全なレポートは、SonatypeのWebサイトで公開されている。

今回、ダウンロード数で上位10位のオープンソース プロジェクトに、現在特定されている脆弱性が最も多く含まれていることが明らかになった。

ソフトウェア開発におけるセキュリティの認識と現実のギャップも示されている。調査回答者の68%は自社のアプリケーションに既知の脆弱なライブラリを使用していないと確信しているが、エンタープライズアプリケーションの無作為抽出サンプルでは68%に既知の脆弱性が含まれていたことが確認されている。

レポート内ではオープンソースプロジェクトごとの依存関係の数が増加しており、これらの依存関係がリスクの重大な原因となっていると指摘されている。また、未熟な組織は開発者がライセンスコンプライアンスの懸念、複数のプロジェクトリリース、依存関係の変更、オープン化などを常に把握していることを期待していると分析。企業がソフトウェア供給管理を優先して、セキュリティリスクへの対処を改善し、開発者の効率を高め、より迅速なイノベーションを可能にすることが早急に必要であると示されている。