JFrogレポート：ソフトウェアサプライチェーンのセキュリティー改革が緊急に必要

ソフトウェアサプライチェーンセキュリティーの分野で著名なプレーヤーであるJFrogは、業界全体に波紋を引き起こしている洞察を発表した。彼らの包括的な研究は、セキュリティー、開発、運用の1,200人を超える専門家からの視点と、JFrogセキュリティー研究チームの専門知識およびArtifactoryからのデータを組み合わせたもので、ソフトウェアサプライチェーンのセキュリティーの現状に光を当てている。この調査結果は、2023年に前例のない新しいパッケージの流入によるオープンソースサプライチェーンの爆発的な成長を浮き彫りにし、世界中の組織への警鐘を鳴らしている。

このレポートは、組織が修復の優先順位付け戦略を洗練することが重要であることを強調している。JFrog Security Researchチームによるレビューにより、Critical Common Vulnerabilities and Exposures（CVE、共通脆弱性識別子）の85%が重大度を引き下げられており、全てのセキュリティー脅威が同じように作成されているわけではないことは明らかだ。この発見は、脆弱性管理に対するより微妙なアプローチ、つまり、知覚される脅威レベルを開発環境に課される実際のリスクと一致させるアプローチの必要性を示している。

さらに、この調査では、セキュリティーツールの無秩序なまん延が開発者の生産性を大幅に妨げているという懸念すべき傾向も明らかになった。開発者は最大4分の1の時間をセキュリティー修復タスクに費やしていると推定されている。これは、開発プロセスの効率に影響を与えるだけでなく、開発者の負担を軽減し、全体的な運用効率を向上させる、合理化された統合セキュリティーソリューションの必要性を強調している。

この調査では、ソフトウェア開発業界の基盤であるツールと言語についても詳しく調査されている。技術進歩のペースが速いにもかかわらず、JFrogのデータは、実稼働対応のソフトウェアを作成するために使用されるコア技術が比較的安定していることを示している。Maven、PyPI、NPM、Dockerは依然として企業組織にとって頼りになるエコシステムであり、実証済みのフレームワークとプラットフォームへの依存が継続していることを示唆している。

これらの調査結果に加えて、レポートでは、組織がコード作成ではなくセキュリティー目的でAIを採用するという興味深い傾向についても触れられている。この傾向は、AIに対する慎重なアプローチを示している。AIの機能はセキュリティー対策の強化では信頼されているが、コードを書く以上に創造的で複雑なタスクにはまだ完全には受け入れられていない。

JFrogのレポートからの洞察は、ソフトウェアサプライチェーンのセキュリティー戦略を再評価し、強化するよう業界に明確に呼びかけている。オープンソースエコシステムの急速な拡大とセキュリティー脅威の状況の進化に伴い、組織は潜在的な脆弱性の先を行くために、より洗練されたツールと実践方法を採用する必要がある。業界がこれらの課題に対処し続ける中、JFrogの調査結果は間違いなく、ソフトウェア開発とセキュリティーの将来を形作るための貴重なリソースとして役立つだろう。レポートの詳細はこちら

出典：JFrog