JFrogレポートがソフトウェアサプライ チェーンセキュリティーにおける新たな脅威と課題を明らかに

ソフトウェアサプライチェーンソリューションの大手プロバイダーであるJFrogは、ソフトウェアサプライチェーンの現状2025レポートを発表した。開発、セキュリティー、運用の各分野の1,400人を超える専門家の洞察と、JFrogの広範な顧客ベースのデータを基にしたこのレポートでは、ソフトウェアセキュリティー環境におけるさまざまな新たな脅威と課題が強調されている。これには、セキュリティー脆弱性の「4つの要素」、共通脆弱性識別子（CVE）のスコアの誤り、機械学習モデルのガバナンスの不備などが含まれる。

レポートでは、ソフトウェアサプライチェーンの整合性と安全性に影響を与える主なセキュリティー要因として、CVE、悪意のあるパッケージ、シークレットの露出、構成ミス／人的エラーが挙げられている。例えば、JFrogのセキュリティーリサーチチームは、公開レジストリーで露出したシークレット／トークンが大幅に増加していることを検出した。これは前年比で64%の増加だ。ソフトウェアセキュリティーの脅威がますます複雑化しているため、企業が一貫したソフトウェアサプライチェーンのセキュリティーを維持することがますます困難になっている。

さらに、レポートでは、AI/MLモデルの急増と攻撃の増加についても取り上げている。2024年だけでも、Hugging Faceには100万を超える新しいMLモデルが追加され、悪意のあるモデルは6.5倍に増加した。これは、AIおよびMLモデルが悪意のある攻撃者にとってますます好まれる攻撃ベクトルになりつつあることを示している。さらに、レポートでは、ほとんどの企業がMLアーティファクトの使用を管理するために認定リストを使っているものの、そのうち3分の1以上が承認済みMLモデルのリストをキュレートおよび維持するために手作業に依存していることが分かっている。このような手作業による検証への過度の依存は、MLモデルのセキュリティーの正確性と一貫性に関する不確実性を生み出す。

また、レポートでは、ITプロフェッショナルのうち、コードレベルとバイナリーレベルの両方でセキュリティースキャンを適用していると答えた人はわずか43%に過ぎず、多くの組織がバイナリーレベルでしか検出できないセキュリティー脅威に対して脆弱なままである、と指摘している。これは昨年の56%から減少しており、ソフトウェアリスクをできるだけ早く特定して防止することに関して、チームに依然として大きな盲点があることを示している。さらに、レポートでは、CVEのスコアが誤っているという憂慮すべき傾向が明らかになっており、政府機関によって「重大」と評価された注目度の高いCVEのうち、割り当てられた重大度レベルを正当化するものはわずか12%に過ぎない。

レポートのダウンロードはこちら

出典：JFrog