オープンソースエコシステムへのサプライチェーン攻撃が大幅に増加 31
ストーリー by headless
増加 部門より
増加 部門より
Sonatype の報告書 9th Annual State of the Software Supply Chain によると、2023 年にはオープンソースエコシステムへのサプライチェーン攻撃が大幅に増加しているそうだ
(プレスリリース、
BetaNews の記事、
報告書: PDF)。
調査対象は Maven Central (Java)・npm (JavaScript)・PyPI (Python)・NuGet (.NET) という 4 つのエコシステム。これらのエコシステムでは 9 月時点で 245,032 個の悪意あるパッケージが見つかっており、2022 年 (88,000 個) の 3 倍近い数字になっている。Sonatype が調査を始めた 2019 年分から 2022 年分までの累計と比較しても 2 倍以上となるようだ。
また、2023 年に Maven Central でダウンロードされたソフトウェアのうち、10% が既知の脆弱性を含んでいたという。この比率は 2021 年の 14%、2022 年の 12% から減少傾向している。ただし、2022 年の調査と同様に脆弱性を含むダウンロードの 96% は既に修正版が入手可能であり、事前に確認すれば回避可能だったとのことだ。
調査対象は Maven Central (Java)・npm (JavaScript)・PyPI (Python)・NuGet (.NET) という 4 つのエコシステム。これらのエコシステムでは 9 月時点で 245,032 個の悪意あるパッケージが見つかっており、2022 年 (88,000 個) の 3 倍近い数字になっている。Sonatype が調査を始めた 2019 年分から 2022 年分までの累計と比較しても 2 倍以上となるようだ。
また、2023 年に Maven Central でダウンロードされたソフトウェアのうち、10% が既知の脆弱性を含んでいたという。この比率は 2021 年の 14%、2022 年の 12% から減少傾向している。ただし、2022 年の調査と同様に脆弱性を含むダウンロードの 96% は既に修正版が入手可能であり、事前に確認すれば回避可能だったとのことだ。
Pipyは注意が必要 (スコア:1)
表記揺れ(タイプミス)しても
大抵何かがインストールされる
Re: (スコア:0)
PyPIではなくPipy使うなら何か変な物インストールされても仕方が無いのかな。
それはそれとして、PyPIは「ぱいぴーあい」と呼ばないとね。読みの揺れで「ぱいぱい」なんて読まないように注意が必要。
後者も呼び方としてゼロではないが、どちらでもOKな場合どちらを選択するかはその者の社会性を試される。
Re: (スコア:0)
コメント自体がタイプミスしているという高度なジョークなんですかね。プラスモデまで付いてるし
Re: (スコア:0)
言いたいことはわかるのでそこは目くらじ立てるとこではないと思れわる。
Re: (スコア:0)
何言ってるんすか、揺れるほうの話っすよ
Re: (スコア:0)
お支払いはPaiPaiで
Re: (スコア:0)
高度かはわかりませんがレスついてない時に読んだ時点でジョークだと思ってました。
Re: (スコア:0)
「ぱいぴ」じゃだめなん?
パリピっぽくて好きなんだけど、伝わらん?
Re: (スコア:0)
イントネーションを平板(「公人」「黎明」「遠雷」とかと同じ)にしてパイパイって言ってます・・・
わかってはいても (スコア:0)
依存でバージョン固定されてて入れられちゃうってことがままある。
外に出すなら、事前に全体調査したり、新バージョンと差し替えもやるけど、
ローカルでちょいちょいデータ処理程度だとスルーするかな……。
# どちらかというと、ライセンス条項のとりまとめを楽にしたい……主に著作権表示回り
言語ごとのパッケージマネージャをエンドユーザーに使わせるな (スコア:0)
配布がnpmやpipやgemsを通じてしか行われておらずインストールのためにはエンドユーザーもこれらを叩かないといけないものが結構ありますが、罠でしか無いでしょう。
アプリケーション開発者も知らないうちに依存パッケージの依存パッケージの依存パッケージが更新されて、たまたま特定バージョンが入った環境のみマルウェア化、最新版では修正済みで報告がなされても再現不可能というケース等もままあるはずです。
動作確認した状態の全部入りアーカイブを用意しろ、と常々思っています。
エンドユーザーがアプリケーションをインストールするな (スコア:0)
と言われそう。
Re: (スコア:0)
今どき、エンドユーザーが入れていいのは公式ストア経由のソフトだけでしょう
そんな手抜きな方法で配布してるって事は、開発側だって「手取り足取りサポートするから是非使ってほしい」とか思ってるんじゃなくて、
「使いたければ使えば」程度にしか思ってないんだと思います
むしろ良いコントリビューションのネタを見つけたくらいに思っておけばいいんじゃないですか
Re: (スコア:0)
npmやpipの話してるのに公式ストア??
Re: (スコア:0)
タイトルも読みなさい
Re: (スコア:0)
使いたければ使えばってのがOSSでしょ
Re: (スコア:0)
アーティファクトリポジトリを使うのはエンドユーザーとは言わないと思うの。
末端の開発者ならエンドユーザーかもしれんが普通はそいつらも開発者だよね。
PERL使い (スコア:0)
「CPANも大規模な攻撃を受けているはずだ!」
Re: (スコア:0)
Cargo「俺は?」
Re: (スコア:0)
CTAN「誰か使ってくれないかなあ…」
AIの出番なのでは (スコア:0)
かつては人手が増えれば安全なソフトウェアは維持できると言われていたが、大規模になりすぎて相当高度な知識を有する人員が非現実的な程、大量に必要になっているのでは。悪意の有るリクエストをAIでフィルタ出来るようにすれば、知見は横展開できるし、相当の学習データも自動で収集できるし、ということで、適任なのではと思う次第。
Re: (スコア:0)
AIの利用者がAIの利用者の攻撃から身を守るのは不可能でしょ。
Re: (スコア:0)
屁理屈すぎるでしょ。モノは違うけど、AIコラで作られた絵かどうかはAIで判定してるけどね。
Re: (スコア:0)
AIが防御している環境を、攻撃者が自前で再現してそれに対していろいろ試せるんだから、状況が全く違う。
Re: (スコア:0)
かつては人手が増えれば安全なソフトウェアは維持できると言われていた
ソースぷりーず。
関わる人が増えればカオスになるって話ならば幾らでも聞いたが。
伽藍とバザールならば「安全」なんて話はなかったはず。
Re: (スコア:0)
伽藍とバザールは対立概念2つを並べたタイトルなんだが。
いくらなんでも聞きかじった言葉を使ってみたかっただけがすぎる
Re: (スコア:0)
なんで一般常識的なことを知らないし調べられない人が上から目線なのかよくわからんのだが。
少なくともどこかの誰かが言ったじゃ満足できそうもないし、企業サイトの事例を挙げておきましょうか。
ttps://eset-info.canon-its.jp/malware_info/special/detail/230228.html
Re: (スコア:0)
つ Struts2
一般常識という方が傲慢だと思うがな。
どんなに目玉の数があったとしてもセキュリティフィックスなんて面白くない作業に
割り当てられる数はそう多くない。
Re: (スコア:0)
「人手が増えれば安全なソフトウェアは維持できる」ってかなり雑な論理だから、その発言の本質を分析するためにはソースが要ると思うよ。
「人手が増えれば安全なソフトウェアは維持できる」かと単純に問われれば、開発者はいつだってそんな都合よく行くかと答える。
Re: (スコア:0)
AIをAI(あるいはアルゴリズムを理解した人力)で突破される可能性もあるしいたちごっこ