政府がソフトウェア サプライ チェーンにオープン ソース セキュリティを追加 from securityboulevard.com
security summary
「オープンソース ソフトウェア リポジトリを使用する電子企業は、悪意のあるペイロードや疑わしいペイロードを特定して修正するためのより適切な装備を整えるために、展開しているものと「ソフトウェア部品表」プロセスを通じてインベントリを取得していることの両方を理解するように注意する必要があります。起きなさい」とケリーは言いました。
しかし、サプライ チェーンを保護するには、まず組織がオープン ソースの役割とそのセキュリティを向上させる必要性を理解する必要があります。
オープン ソース コンポーネントはどこにでもあり、大部分のソフトウェア アプリケーションはオープン ソース コードを使用しており、場合によっては最大 80% 以上も使用されています。
ソフトウェア サプライ チェーン内でオープン ソース コードへの依存度が高まっているため、脅威アクターにとって魅力的な標的となっています。
nVisium のプリンシパル サイバーセキュリティ コンサルタントであるベン ピック (Ben Pick) 氏は、電子メールのコメントで、オープン ソース ソフトウェアとプロジェクトは、これらのツールがソフトウェア開発でより活用されるにつれて、組織にとってより大きなリスクになりつつあると述べています。
「単一のオープンソース ソフトウェアが指数関数的に複数の依存関係を参照できるため、これは困難な場合があります。したがって、攻撃者は、パイプライン内の多くのオープン ソース プロジェクトの 1 つを標的にして侵害するだけで、かなりの損害を与えることができます。」
コメント