パスワードを忘れた? アカウント作成
17405951 story
オープンソース

オープンソースエコシステムへのサプライチェーン攻撃が大幅に増加 31

ストーリー by headless
増加 部門より
Sonatype の報告書 9th Annual State of the Software Supply Chain によると、2023 年にはオープンソースエコシステムへのサプライチェーン攻撃が大幅に増加しているそうだ (プレスリリースBetaNews の記事報告書: PDF)。

調査対象は Maven Central (Java)・npm (JavaScript)・PyPI (Python)・NuGet (.NET) という 4 つのエコシステム。これらのエコシステムでは 9 月時点で 245,032 個の悪意あるパッケージが見つかっており、2022 年 (88,000 個) の 3 倍近い数字になっている。Sonatype が調査を始めた 2019 年分から 2022 年分までの累計と比較しても 2 倍以上となるようだ。

また、2023 年に Maven Central でダウンロードされたソフトウェアのうち、10% が既知の脆弱性を含んでいたという。この比率は 2021 年の 14%、2022 年の 12% から減少傾向している。ただし、2022 年の調査と同様に脆弱性を含むダウンロードの 96% は既に修正版が入手可能であり、事前に確認すれば回避可能だったとのことだ。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2023年10月08日 12時09分 (#4542275)

    表記揺れ(タイプミス)しても
    大抵何かがインストールされる

    • by Anonymous Coward

      PyPIではなくPipy使うなら何か変な物インストールされても仕方が無いのかな。

      それはそれとして、PyPIは「ぱいぴーあい」と呼ばないとね。読みの揺れで「ぱいぱい」なんて読まないように注意が必要。
      後者も呼び方としてゼロではないが、どちらでもOKな場合どちらを選択するかはその者の社会性を試される。

      • by Anonymous Coward

        コメント自体がタイプミスしているという高度なジョークなんですかね。プラスモデまで付いてるし

        • by Anonymous Coward

          言いたいことはわかるのでそこは目くらじ立てるとこではないと思れわる。

        • by Anonymous Coward

          何言ってるんすか、揺れるほうの話っすよ

        • by Anonymous Coward

          高度かはわかりませんがレスついてない時に読んだ時点でジョークだと思ってました。

      • by Anonymous Coward

        「ぱいぴ」じゃだめなん?
        パリピっぽくて好きなんだけど、伝わらん?

      • by Anonymous Coward

        イントネーションを平板(「公人」「黎明」「遠雷」とかと同じ)にしてパイパイって言ってます・・・

  • by Anonymous Coward on 2023年10月08日 13時41分 (#4542295)

    依存でバージョン固定されてて入れられちゃうってことがままある。
    外に出すなら、事前に全体調査したり、新バージョンと差し替えもやるけど、
    ローカルでちょいちょいデータ処理程度だとスルーするかな……。

    # どちらかというと、ライセンス条項のとりまとめを楽にしたい……主に著作権表示回り

  • 配布がnpmやpipやgemsを通じてしか行われておらずインストールのためにはエンドユーザーもこれらを叩かないといけないものが結構ありますが、罠でしか無いでしょう。
    アプリケーション開発者も知らないうちに依存パッケージの依存パッケージの依存パッケージが更新されて、たまたま特定バージョンが入った環境のみマルウェア化、最新版では修正済みで報告がなされても再現不可能というケース等もままあるはずです。
    動作確認した状態の全部入りアーカイブを用意しろ、と常々思っています。

    • by Anonymous Coward

      今どき、エンドユーザーが入れていいのは公式ストア経由のソフトだけでしょう

      そんな手抜きな方法で配布してるって事は、開発側だって「手取り足取りサポートするから是非使ってほしい」とか思ってるんじゃなくて、
      「使いたければ使えば」程度にしか思ってないんだと思います

      むしろ良いコントリビューションのネタを見つけたくらいに思っておけばいいんじゃないですか

      • by Anonymous Coward

        npmやpipの話してるのに公式ストア??

        • by Anonymous Coward

          タイトルも読みなさい

      • by Anonymous Coward

        使いたければ使えばってのがOSSでしょ

    • by Anonymous Coward

      アーティファクトリポジトリを使うのはエンドユーザーとは言わないと思うの。
      末端の開発者ならエンドユーザーかもしれんが普通はそいつらも開発者だよね。

  • by Anonymous Coward on 2023年10月08日 19時36分 (#4542388)

    「CPANも大規模な攻撃を受けているはずだ!」

    • by Anonymous Coward

      Cargo「俺は?」

      • by Anonymous Coward

        CTAN「誰か使ってくれないかなあ…」

  • by Anonymous Coward on 2023年10月08日 19時53分 (#4542394)

    かつては人手が増えれば安全なソフトウェアは維持できると言われていたが、大規模になりすぎて相当高度な知識を有する人員が非現実的な程、大量に必要になっているのでは。悪意の有るリクエストをAIでフィルタ出来るようにすれば、知見は横展開できるし、相当の学習データも自動で収集できるし、ということで、適任なのではと思う次第。

    • by Anonymous Coward

      AIの利用者がAIの利用者の攻撃から身を守るのは不可能でしょ。

      • by Anonymous Coward

        屁理屈すぎるでしょ。モノは違うけど、AIコラで作られた絵かどうかはAIで判定してるけどね。

        • by Anonymous Coward

          AIが防御している環境を、攻撃者が自前で再現してそれに対していろいろ試せるんだから、状況が全く違う。

    • by Anonymous Coward

      かつては人手が増えれば安全なソフトウェアは維持できると言われていた

      ソースぷりーず。
      関わる人が増えればカオスになるって話ならば幾らでも聞いたが。
      伽藍とバザールならば「安全」なんて話はなかったはず。

      • by Anonymous Coward

        伽藍とバザールは対立概念2つを並べたタイトルなんだが。
        いくらなんでも聞きかじった言葉を使ってみたかっただけがすぎる

      • by Anonymous Coward

        なんで一般常識的なことを知らないし調べられない人が上から目線なのかよくわからんのだが。
        少なくともどこかの誰かが言ったじゃ満足できそうもないし、企業サイトの事例を挙げておきましょうか。
        ttps://eset-info.canon-its.jp/malware_info/special/detail/230228.html

        • by Anonymous Coward

          つ Struts2

          一般常識という方が傲慢だと思うがな。
          どんなに目玉の数があったとしてもセキュリティフィックスなんて面白くない作業に
          割り当てられる数はそう多くない。

        • by Anonymous Coward

          「人手が増えれば安全なソフトウェアは維持できる」ってかなり雑な論理だから、その発言の本質を分析するためにはソースが要ると思うよ。

          「人手が増えれば安全なソフトウェアは維持できる」かと単純に問われれば、開発者はいつだってそんな都合よく行くかと答える。

    • by Anonymous Coward

      AIをAI(あるいはアルゴリズムを理解した人力)で突破される可能性もあるしいたちごっこ

typodupeerror

弘法筆を選ばず、アレゲはキーボードを選ぶ -- アレゲ研究家

読み込み中...