オープンソースエコシステムへのサプライチェーン攻撃が大幅に増加

Sonatype の報告書 9th Annual State of the Software Supply Chain によると、2023 年にはオープンソースエコシステムへのサプライチェーン攻撃が大幅に増加しているそうだ(プレスリリース、BetaNews の記事、報告書: PDF)。

調査対象は Maven Central (Java)・npm (JavaScript)・PyPI (Python)・NuGet (.NET) という 4 つのエコシステム。これらのエコシステムでは 9 月時点で 245,032 個の悪意あるパッケージが見つかっており、2022 年 (88,000 個) の 3 倍近い数字になっている。Sonatype が調査を始めた 2019 年分から 2022 年分までの累計と比較しても 2 倍以上となるようだ。

また、2023 年に Maven Central でダウンロードされたソフトウェアのうち、10% が既知の脆弱性を含んでいたという。この比率は 2021 年の 14%、2022 年の 12% から減少傾向している。ただし、2022 年の調査と同様に脆弱性を含むダウンロードの 96% は既に修正版が入手可能であり、事前に確認すれば回避可能だったとのことだ。　

スラドのコメントを読む | オープンソースセクション | オープンソース | セキュリティ

　関連ストーリー：
既知の脆弱性を含むコード、時間がなければ仕方なくデプロイする？ 2023年04月29日
悪意あるPyPIパッケージ発見される、タイポスクワッティング狙いか 2023年02月20日
Denoが3カ月以内にnpmパッケージへ対応と発表 2022年08月22日