オープンソースエコシステムへのサプライチェーン攻撃が大幅に増加
2023年10月8日 17:59
Sonatype の報告書 9th Annual State of the Software Supply Chain によると、2023 年にはオープンソースエコシステムへのサプライチェーン攻撃が大幅に増加しているそうだ(プレスリリース、BetaNews の記事、報告書: PDF)。
調査対象は Maven Central (Java)・npm (JavaScript)・PyPI (Python)・NuGet (.NET) という 4 つのエコシステム。これらのエコシステムでは 9 月時点で 245,032 個の悪意あるパッケージが見つかっており、2022 年 (88,000 個) の 3 倍近い数字になっている。Sonatype が調査を始めた 2019 年分から 2022 年分までの累計と比較しても 2 倍以上となるようだ。
また、2023 年に Maven Central でダウンロードされたソフトウェアのうち、10% が既知の脆弱性を含んでいたという。この比率は 2021 年の 14%、2022 年の 12% から減少傾向している。ただし、2022 年の調査と同様に脆弱性を含むダウンロードの 96% は既に修正版が入手可能であり、事前に確認すれば回避可能だったとのことだ。