91郭肱利

アプリケ�`ションに弖紗するコンポ�`ネントが書晩芦畠であるからといって、そのアプリケ�`ションが苧晩も芦畠であるとは�泙蠅泙擦鵝�これは麼に、ソフトウェア?サプライチェ�`ンの鹸�jさが圻咀です。恷除のアプリケ�`ションは、鏡徭蝕�kのコ�`ドとオ�`プンソ�`ス?コ�`ド、粥永鴛とユ�`ザ�`インタ�`フェイス、アプリケ�`ションの強恬、ソフトウェアアプリケ�`ションの更廏に擬秘されるデプロイワ�`クフロ�`が鹸�jに詞壓しています。ソフトウェアを蝕�kしている巷望は、このチェ�`ンのあらゆる扮泣で、セキュリティの諒籾が�k伏すると怏岶と綱人がリスクにさらされる辛嬬來があります。ソフトウェア?サプライチェ�`ンのセキュリティを鳩隠し、その芦畠來を�^苧するにはどうすればよいでしょうか��

コ�`ドベ�`スとサプライチェ�`ンのセキュリティリスク

サプライチェ�`ンのどこかにある之��は、巌樋來や盃墾の�k伏坿から、扮にはエンドユ�`ザ�`にまで襖式し、�加雉弔篇囲譴鰉襪┐訖苗榻圓�あります。ソフトウェア?サプライチェ�`ンは、その鹸�jさと俊�A來のために、アタックサ�`フェスが��寄し�Aけています。たとえば、于璃アクタ�`は、盃墾�gみのソフトウェアとネットワ�`クを初した撞訓な宥佚を旋喘して、ネットワ�`クや怏岶への蒙�悒▲�セスを函誼できます。これにより、��吭のある繁麗が廠順セキュリティをバイパスして嗤�燭淵罘`ザ�`またはアカウントとして範紛され、アクセス俯辛を函誼して坪何に盃秘し、寄詞岱を哈き軟こす辛嬬來があります。

オ�`プンソ�`ス?コ�`ドと鏡徭�_�kのコ�`ドの�I圭を根む、アプリケ�`ション坪のソフトウェアの��撹を岑っていますか�� そのソフトウェアが聞喘するコンポ�`ネントとバ�`ジョンを岑っていますか�� オ�`プンソ�`ス?ソフトウェアは、モダンアプリケ�`ションの�_�kにおいて嶷勣なコンポ�`ネントであり、崛るところに贋壓します。Synopsysの仝オ�`プンソ�`ス?セキュリティ�Ε螢好�蛍裂々�┛審СЦ藉。�レポ�`トでは、蛍裂した斌喘コ�`ドベ�`スのほぼすべて��98%��にオ�`プンソ�`ス?ソフトウェアが根まれていることが苧らかになりました。その護栽は、エネルギ�`とクリ�`ンテクノロジ�`、サイバ�`セキュリティ、鴛看意、コンピュ�`タ�`ハ�`ドウェアと磯擬悶の匍順では100%です。また、このレポ�`トは、コ�`ドベ�`スの81%に1つ參貧の屡岑のオ�`プンソ�`スの巌樋來が贋壓することを幣しています。

オ�`プンソ�`ス?ソフトウェアが噸式した潤惚、サプライチェ�`ンはより鹸�jで蛍かりにくくなり、�v銭するリンクや卆贋�v�Sもかつてないほど謹くなっています。リスクを�X受する率匯の圭隈は、聞喘嶄のオ�`プンソ�`ス?ソフトウェアの辛篇來を略隔し、蒙協されたリスク糟囃に���Iすることです。

さらに、鏡徭蝕�kのコ�`ドは、セキュリティの�U�Yやトレ�`ニングが音怎している蝕�k宀によって恬撹されている買�鬚�あります。オ�`プンソ�`ス?ソフトウェアと揖��に、鏡徭蝕�kのコ�`ドのリスクは鹸�jであり、�U�Y�N源なセキュリティ��壇社であっても蒙協が佃しい魁栽がありますが、鏡徭蝕�kのコ�`ド坪の巌樋來は、字畜デ�`タやシステムへのエントリ�`ポイントとなる辛嬬來があります。そのため、アプリケ�`ション坪のサ�`ドパ�`ティ�`�uコ�`ドとともに鏡徭蝕�kのソフトウェアを隠擦することが嶷勣です。

ソフトウェア?サプライチェ�`ンへの好��

ハッカ�`にとって、サプライチェ�`ンは誘彿���森�が互いため、ますます炎議になる買�鬚�あります。ハッカ�`は李むものを返に秘れているため、サプライチェ�`ンへの好�弔�麼送になりつつあります。ガ�`トナ�`芙は、2025定までに、弊順嶄のがソフトウェア?サプライチェ�`ンに��する好�弔鮟U�Yすると嚠霞しています。また、卆贋�v�Sと俊�A來により、アプリケ�`ションの之��と巌樋來は恷兜の好�張戰�トルから宣れている怏岶にもリスクをもたらします。いくつかの箭を參和に幣します。

• SolarWinds。2019定、ハッカ�`は、弊順嶄の30,000を階える�M��で聞喘されているIT�O��システムであるSolarWinds Orionプラットフォ�`ムに��吭のあるコ�`ドを�携襪靴泙靴拭�このコ�`ドにより、ハッカ�`は、採認ものシステムへのバックドアを恬撹してシステムに俊�Aし、�k��されずにアカウントやユ�`ザ�`にアクセスできるようになり、謹くの�M��や致忽屓軒�C�vが瓜墾に壟いました。
• Heartbleed。2014定、ﾚく聞喘されている或沿艶稼皆皆晦圧催晒ソフトウェアのバグにより、コンピュ�`タ�`がだまされてサ�`バ�`の檎粥珂の坪否が僕佚され、ハッカ�`はパスワ�`ドや倖繁を蒙協できる秤烏を根むデ�`タにアクセスできるようになり、赫看看乙鉛艶、禽姻看沿恢看恰、檎艶糸糸庄岳、酷温界艶恢看看一、カナダ�r秘ﾘ、謹くのゲ�`ムサ�`ビスや謹方の弌号庁並匍悶など、或沿艶稼皆皆晦を聞喘しているすべての巷望が裡��にさらされました。
• Equifax。2017定、ハッカ�`は、まだパッチが�m喘されていないApache Strutsフレ�`ムワ�`クの屡岑の巌樋來を旋喘して、��人逗秤ポ�`タルを宥じてEquifaxに盃秘しました。
• Log4J。2021定12埖、繁�櫃慮澆ぅ��`プンソ�`ス?コンポ�`ネントであるApache Log4Jで、Javaベ�`スのエンタ�`プライズアプリケ�`ション、�Mみ�zみシステム、およびそれらのサブコンポ�`ネントに唹��を嚥える辛嬬來のある嶷寄な巌樋來が��つかりました。このユ�`ティリティは、7,000を階える麿のオ�`プンソ�`ス?プロジェクトにも卆贋�v�Sがあります。この巌樋來により、好�蔦澆牢猗�なサ�`バ�`貧で販吭のコ�`ドを�g佩できるようになり、侮震業得��で恷互スコア��10泣�叉穹�10泣��がつくほど裡��になりました。これは醤悶議な好�弔任呂△蠅泙擦鵑�、弊順嶄の怏岶が岷中しているソフトウェア?サプライチェ�`ンのリスクを苧鳩に燕す箭です。

ソフトウェア何瞳燕で佚�mを廏く

ソフトウェア?サプライチェ�`ンのセキュリティを鳩隠し、綱人やサプライヤ�`との佚�mを更廏するには、ソフトウェア何瞳燕�┳У�或珂��を聞喘してソフトウェア?サプライチェ�`ンを隠擦するための嚠契議な��貨を函ることが嶷勣です。皆京或珂は、謹くの魁栽、ソフトウェア?コンポジション盾裂ツ�`ルによって伏撹され、ソフトウェアを更撹するために聞喘されるコンポ�`ネントの淫凄議な朕�hであり、すべてのオ�`プンソ�`スと鏡徭蝕�kのコ�`ド、�v銭するライセンス、聞喘嶄のバ�`ジョン、パッチ癖喘彜趨の匯�Eです。より�袁犬奮У�或珂には、コンポ�`ネントと卆贋�v�Sのダウンロ�`ド魁侭、および卆贋�v�Sがリンクするサブ卆贋�v�Sも根まれます。皆京或珂に根まれる�酊進�と�袁固蕷┐蓮�怏岶やそのクライアントとパ�`トナ�`、�v銭する号崙字�v、駅勣な秤烏によって呟なります。このデ�`タは、巷望やコミュニティ畠悶で慌嗤し、麿の怏岶が鏡徭の淫凄議なソフトウェア何瞳燕を恬撹できるようにすることを朕議としています。

ユ�`ザ�`がNIST���覆�����し、ソフトウェア?サプライチェ�`ンにセキュリティを�Mみ�zむためにSynopsysのBlack Duck? SBOMエクスポ�`ト�C嬬がどのように叨羨つかについては、ブログ芝並をご匯�iください。