JFrogレポート、ソフトウェアサプライチェーンのセキュリティーに関する新たな洞察を明らかに

JFrogソフトウェアサプライチェーンプラットフォームで知られるリキッドソフトウェア企業JFrogは、2024年のソフトウェアサプライチェーン一般教書レポートを公開した。このレポートは、ソフトウェア開発の現在の状況を理解するための重要なリソースであり、主要な傾向、潜在的なリスク、およびエンタープライズソフトウェアサプライチェーンのセキュリティーを強化するための推奨プラクティスに焦点を当てている。

このレポートは、JFrog Artifactoryを使用する7,000以上の組織からの開発者の使用状況データの分析、JFrog Security Researchチームによる一般的な脆弱性とエクスポージャー（CVE、共通脆弱性識別子）の徹底的な調査、1,200のテクノロジーの調査からの洞察など、広範な調査の集大成だ。世界各国の専門家によるこの報告書から得られた顕著な発見の1つは、CVEの重大度の再評価だ。JFrog Security Researchチームは、かなりの数のCVEの脅威レベルを再調整した。これは、従来の共通脆弱性スコアリングシステム（CVSS）が、特定の脆弱性によってもたらされる実際のリスクを常に正確に反映しているとは限らないことを示唆している。この発見は、セキュリティーの脅威を評価して対応するための、より微妙なアプローチの必要性を強調している。

このレポートから得られるもう1つの重要な洞察は、サービス拒否（DoS）攻撃のまん延だ。注目を集めているCVEの分析により、DoS攻撃はリモートコード実行（RCE）攻撃よりも一般的であることが明らかになった。RCE攻撃は、それほど深刻ではないが、依然としてシステムの可用性に対して大きな脅威となっている。この傾向は、セキュリティー組織がさまざまな種類の脆弱性に優先順位を付けて対処する方法に影響を与える。さらに、このレポートではセキュリティー対策が生産性に及ぼす影響についても明らかにしており、回答者の大部分がセキュリティープロトコルによって新しいソフトウェアの展開が遅れ、それによって市場投入までの時間が長くなる可能性があると指摘している。

このレポートでは、ソフトウェア開発ライフサイクル（SDLC）全体にわたるセキュリティーチェックの適用についても詳しく説明している。これは、セキュリティー スキャンを実施する最適な段階に関して業界内で意見が分かれていることを明らかにしており、コード作成中のスキャンを支持する派と、オープンソースリポジトリーから統合する前に新しいソフトウェアパッケージをスキャンすることを好む派の間でほぼ均等に分かれている。これは、開発プロセスを妨げずにセキュリティー対策を実装するためのベストプラクティスについての議論が現在進行中であることを浮き彫りにしている。

さらに、このレポートでは、IT部門内でのセキュリティーツールの急増についても説明している。かなりの数の専門家が、さまざまなアプリケーションセキュリティーソリューションを使用していると報告しており、セキュリティーツールの統合と孤立したソリューションからの移行の傾向を指摘している。このツールの無秩序な拡大は、複雑さでユーザーを圧倒することなく包括的なカバーを提供できる、合理化され統合されたセキュリティーソリューションが市場に熟していることを示している。

最後に、レポートではセキュリティーにおける人工知能および機械学習（AI/ML）ツールの使用について触れている。大多数の組織はセキュリティースキャンと修復にAI/MLツールを採用しているが、コード作成にこれらのツールを使用することには顕著なちゅうちょがある。これは、新たな脆弱性が導入される可能性が懸念される分野では、AI/MLの導入には慎重なアプローチが必要であることを示唆している。

2024年のJFrog Software Supply Chain State of the Unionレポートの調査結果は、開発者、セキュリティー専門家、テクノロジーリーダーに貴重な洞察を提供する。これらの洞察は、複雑なソフトウェア サプライチェーン管理に対処し、進化し続けるデジタル環境で堅牢なセキュリティーを確保するために不可欠だ。ダウンロードはこちら。理解を深めるために、日本時間4月18日木曜日午前2時から開催されるJFrogウェビナー「2024年のソフトウェアサプライチェーンの保護：一般教書レポートの詳細」に参加して、ソフトウェアサプライチェーンの保護の最新事情について理解を深めることもおすすめだ。

出典：JFrog